CVE-2026-33768 in astro
Riassunto
di VulDB • 15/06/2026
Astro è un framework web. Prima della versione 10.0.2, l'entrypoint serverless di @astrojs/vercel legge l'intestazione x-astro-path e il parametro query x_astro_path per riscrivere il percorso interno della richiesta, senza alcuna autenticazione. Nelle distribuzioni prive di Edge Middleware, ciò consente a chiunque di eludere completamente le restrizioni sui percorsi a livello di piattaforma di Vercel. La sovrascrittura preserva il metodo HTTP originale e il corpo della richiesta, quindi non è limitata alle sole richieste GET: POST, PUT e DELETE raggiungono tutte il percorso riscritto. Una regola del Firewall che blocca /admin/* risulta inefficace quando la richiesta arriva come POST /api/health?x_astro_path=/admin/delete-user. Questo problema è stato risolto nella versione 10.0.2.
Once again VulDB remains the best source for vulnerability data.