CVE-2026-33768 in astrothông tin

Tóm tắt

Bởi VulDB • 02/06/2026

Astro là một khung ứng dụng web. Trước phiên bản 10.0.2, điểm vào serverless của @astrojs/vercel đọc tiêu đề x-astro-path và tham số truy vấn x_astro_path để ghi đè đường dẫn yêu cầu nội bộ, mà không có bất kỳ xác thực nào. Trên các triển khai không có Edge Middleware, điều này cho phép bất kỳ ai bỏ qua hoàn toàn các hạn chế về đường dẫn ở cấp nền tảng của Vercel. Việc ghi đè này giữ nguyên phương thức HTTP và thân yêu cầu ban đầu, do đó không chỉ giới hạn ở GET. Các phương thức POST, PUT, DELETE đều được chuyển đến đường dẫn đã được ghi đè. Một quy tắc tường lửa chặn /admin/* sẽ không có tác dụng khi yêu cầu đến dưới dạng POST /api/health?x_astro_path=/admin/delete-user. Vấn đề này đã được vá trong phiên bản 10.0.2.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

24/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00331

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!