CVE-2026-33768 in astro
요약
\~에 의해 VulDB • 2026. 06. 01.
Astro는 웹 프레임워크입니다. 버전 10.0.2 이전의 @astrojs/vercel 서버리스 진입점(entrypoint)은 x-astro-path 헤더와 x_astro_path 쿼리 파라미터를 읽어서 내부 요청 경로를 재작성하며, 어떠한 인증도 수행하지 않습니다. Edge Middleware가 없는 배포 환경에서는 이를 통해 누구나 Vercel의 플랫폼 수준 경로 제한을 완전히 우회할 수 있습니다. 이 재작성은 원래의 HTTP 메서드와 바디를 유지하므로 GET 요청에만 국한되지 않습니다. POST, PUT, DELETE 요청 모두 재작성된 경로로 전달됩니다. /admin/*를 차단하는 방화벽 규칙은 요청이 POST /api/health?x_astro_path=/admin/delete-user 형식으로 들어올 때는 아무런 효과가 없습니다. 이 문제는 버전 10.0.2에서 패치되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.