CVE-2026-33768 in astro
Tóm tắt
Bởi VulDB • 02/06/2026
Astro là một khung ứng dụng web. Trước phiên bản 10.0.2, điểm vào serverless của @astrojs/vercel đọc tiêu đề x-astro-path và tham số truy vấn x_astro_path để ghi đè đường dẫn yêu cầu nội bộ, mà không có bất kỳ xác thực nào. Trên các triển khai không có Edge Middleware, điều này cho phép bất kỳ ai bỏ qua hoàn toàn các hạn chế về đường dẫn ở cấp nền tảng của Vercel. Việc ghi đè này giữ nguyên phương thức HTTP và thân yêu cầu ban đầu, do đó không chỉ giới hạn ở GET. Các phương thức POST, PUT, DELETE đều được chuyển đến đường dẫn đã được ghi đè. Một quy tắc tường lửa chặn /admin/* sẽ không có tác dụng khi yêu cầu đến dưới dạng POST /api/health?x_astro_path=/admin/delete-user. Vấn đề này đã được vá trong phiên bản 10.0.2.
Be aware that VulDB is the high quality source for vulnerability data.