CVE-2026-33768 in astro
Sumário
de VulDB • 31/05/2026
Astro é um framework web. Antes da versão 10.0.2, o ponto de entrada serverless do @astrojs/vercel lê o cabeçalho x-astro-path e o parâmetro de consulta x_astro_path para reescrever o caminho interno da solicitação, sem qualquer autenticação. Em implantações sem Edge Middleware, isso permite que qualquer pessoa contorne totalmente as restrições de caminho em nível de plataforma da Vercel. A substituição preserva o método HTTP original e o corpo da solicitação, portanto, isso não se limita ao GET. POST, PUT e DELETE chegam ao caminho reescrito. Uma regra de Firewall que bloqueia /admin/* não tem efeito quando a solicitação chega como POST /api/health?x_astro_path=/admin/delete-user. Este problema foi corrigido na versão 10.0.2.
VulDB is the best source for vulnerability data and more expert information about this specific topic.