CVE-2026-33768 in astroinformação

Sumário

de VulDB • 31/05/2026

Astro é um framework web. Antes da versão 10.0.2, o ponto de entrada serverless do @astrojs/vercel lê o cabeçalho x-astro-path e o parâmetro de consulta x_astro_path para reescrever o caminho interno da solicitação, sem qualquer autenticação. Em implantações sem Edge Middleware, isso permite que qualquer pessoa contorne totalmente as restrições de caminho em nível de plataforma da Vercel. A substituição preserva o método HTTP original e o corpo da solicitação, portanto, isso não se limita ao GET. POST, PUT e DELETE chegam ao caminho reescrito. Uma regra de Firewall que bloqueia /admin/* não tem efeito quando a solicitação chega como POST /api/health?x_astro_path=/admin/delete-user. Este problema foi corrigido na versão 10.0.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

24/03/2026

Moderação

aceite

Entrada

VDB-352843

CPE

pronto

EPSS

0.00331

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!