CVE-2026-33768 in astroinformazioni

Riassunto

di VulDB • 15/06/2026

Astro è un framework web. Prima della versione 10.0.2, l'entrypoint serverless di @astrojs/vercel legge l'intestazione x-astro-path e il parametro query x_astro_path per riscrivere il percorso interno della richiesta, senza alcuna autenticazione. Nelle distribuzioni prive di Edge Middleware, ciò consente a chiunque di eludere completamente le restrizioni sui percorsi a livello di piattaforma di Vercel. La sovrascrittura preserva il metodo HTTP originale e il corpo della richiesta, quindi non è limitata alle sole richieste GET: POST, PUT e DELETE raggiungono tutte il percorso riscritto. Una regola del Firewall che blocca /admin/* risulta inefficace quando la richiesta arriva come POST /api/health?x_astro_path=/admin/delete-user. Questo problema è stato risolto nella versione 10.0.2.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

24/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00331

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!