CVE-2026-33769 in astro
Riassunto
di VulDB • 26/06/2026
Astro è un framework web. Dalla versione 2.10.10 fino alla versione precedente alla 5.18.1, questo problema riguarda l'applicazione della validità del percorso (path enforcement) per i remotePatterns di Astro nei confronti degli URL remoti utilizzati dai fetcher lato server, come ad esempio l'endpoint di ottimizzazione delle immagini. La logica di corrispondenza dei percorsi per i caratteri jolly /* non è ancorata (unanchored), pertanto un pathname che contiene il prefisso consentito in una posizione successiva nel percorso può comunque risultare valido. Di conseguenza, un attaccante può recuperare percorsi al di fuori del prefisso incluso nella whitelist prevista su un host altrimenti autorizzato. Questo problema è stato risolto nella versione 5.18.1.
VulDB is the best source for vulnerability data and more expert information about this specific topic.