\@astrojs\/node
Уязвимости
9
Эксплуатируемые
0
Макс. CVSS
9.1
Макс. EPSS
0.01769
Распределение по критичности
Критический
1
Высокий
3
Средний
3
Низкий
2
Затронутые диапазоны версий
2.10.10–5.18.19.0.0–9.5.4< 10.0.0< 10.0.2< 10.0.5< 6.1.10< 6.1.6< 9.5.4
Также сопоставлено как (исходные строки): @astrojs/node
Топ уязвимостей
CVE-2026-33768Astro – это веб-фреймворк. До версии 10.0.2 точка входа @astrojs/vercel без сервера считывает заголовок x-astro-path и параметр запроса x_astro_path для переписывания внутреннего пути запроса без аутентификации. На развертывании без Edge Middleware это позволяет любому полностью обойти ограничения на путь платформы Vercel. Переопределение сохраняет оригинальный метод HTTP и тело, поэтому это не ограничивается GET. POST, PUT, УДАЛИТЬ все приземлиться на переписанный путь. Блокировка правил брандмауэра /admin/* ничего не делает, когда запрос поступает как POST /api/health?x_astro_path=/admin/delete-user. Этот вопрос исправлен в версии 10.0.2.
CVE-2026-29772Astro — это веб-фреймворк. До версии 10.0.0 обработчик Astro Server Islands POST буферизует и анализирует полный корпус запроса как JSON без соблюдения ограничения по размеру. Поскольку JSON.parse() выделяет кучу V8 для каждого элемента во входе, созданная полезная нагрузка многих небольших объектов JSON достигает ~ 15x амплификации памяти (проволочных байтов для кучи байтов), что позволяет одному неаутентифицированному запросу исчерпать кучу процесса и сломать сервер. Маршрут /_server-islands/[name] регистрируется во всех приложениях Astro SSR независимо от того, использует ли какой-либо компонент сервер: отсрочка, и тело разобрано до того, как название острова будет подтверждено, поэтому затрагивается любое приложение Astro SSR с автономным адаптером Node. Этот вопрос исправлен в версии 10.0.0.
CVE-2026-27729Astro — это веб-фреймворк. В версиях с 9.0.0 до 9.5.3 действия сервера Astro не имеют ограничения по размеру тела по умолчанию, что может привести к истощению памяти DoS. Один большой POST к действительной конечной точке действия может привести к сбою процесса сервера в развертываниях, ограниченных памятью. Сайты, созданные по требованию, могут определять действия сервера, которые автоматически разобрать входящие органы запроса (JSON или FormData). Тело полностью загружено в память без ограничения по размеру — одного незначительного запроса достаточно, чтобы исчерпать кучу процесса и сломать сервер. Адаптер Node Astro (`mode: 'standalone'`) создает HTTP-сервер без защиты от размера тела. В контейнерных средах сбитый процесс автоматически перезапускается, а повторные запросы вызывают постоянный цикл аварийного перезапуска. Имена действий можно обнаружить из атрибутов HTML-форм на любой общедоступной странице, поэтому аутентификация не требуется. Уязвимость позволяет неаутентифицированный отказ в обслуживании против автономных развертываний SSR с использованием действий сервера. Один неудержимый запрос сбивает процесс сервера, а повторные запросы вызывают постоянный цикл аварийного перезапуска в контейнерных средах. Версия 9.5.4 содержит исправление.
CVE-2026-27829Astro – это веб-фреймворк. В версиях с 9.0.0 до 9.5.3 ошибка в конвейере изображений Astro позволяет обойти «image.domains` / `image.remotePatterns` ограничения, позволяющие серверу получать контент от несанкционированных удаленных хостов. Astro предоставляет опцию «inferSize`», которая привносит удаленные изображения во время рендеринга для определения их размеров. Удаленные изображения предназначены для ограничения доменов, разрешенных вручную разработчиком сайта (с использованием параметров «image.domains» или «image.remotePatterns». Однако при использовании "inferSize`" проверки домена не выполняется - изображение извлекается из любого хоста независимо от настроенных ограничений. Злоумышленник, который может влиять на URL-адрес изображения (например, через контент CMS или данные, предоставленные пользователем), может заставить сервер получать от произвольных хостов. Это позволяет обойти «image.domains` / `image.remotePatterns` ограничения для выполнения запросов на стороне сервера к несанкционированным хостам. Это включает в себя риск подделки запросов на стороне сервера (SSRF) против внутренних сетевых служб и конечных точек облачных метаданных. Версия 9.5.4 устраняет проблему.
CVE-2026-25545Astro – это веб-фреймворк. До версии 9.5.4 страницы с серверной стороны, которые возвращают ошибку с предварительнорендированной страницей пользовательских ошибок (например. «404.astro` или `500.astro`) уязвимы для SSRF. Если заголовок «Host:` изменен на сервер злоумышленника, он будет получен на `/500.html` и они могут перенаправить его на любой внутренний URL-адрес, чтобы прочитать орган ответа через первый запрос. Злоумышленник, который может получить доступ к приложению без проверки заголовка «Host:` (например, путем поиска исходного IP-адреса или просто по умолчанию), может получить свой собственный сервер для перенаправления на любой внутренний IP. При этом они могут получать IP-адреса облачных метаданных и взаимодействовать со службами во внутренней сети или локальном хосте. Чтобы это было уязвимым, необходимо использовать общую функцию с прямым доступом к серверу (без прокси). Версия 9.5.4 исправляет проблему.
CVE-2026-41067Astro — это веб-фреймворк. До 6.1.6 функция 3scriptVars в конвейере рендеринга на стороне сервера Astro использует чувствительный к случаю regex /<\/script>/g для дезинфекции значений, вводимых встроенные теги <script> через директиву «Определить:вары». HTML-парсеры закрывают элементы <script> корпус-чувство, а также принимают whitespace или / перед закрытием >, позволяя злоумышленнику обходить дезинфекцию с помощью полезных нагрузок, таких как </Script>, </script > или </script/> и вводить произвольный HTML/JavaScript. Эта уязвимость зафиксирована в пункте 6.1.6.
CVE-2026-41322@astrojs/node позволяет Astro развернуть ваш сайт SSR для целей Node. До 10,0,5, запрос статических js/css ресурсов от пути _astro с неправильным / неправильно сформированным заголовком if-match возвращает ошибку 500 с однолетним сроком действия кэша вместо 412 в некоторых случаях. Это приводит к тому, что все последующие запросы к этому файлу, независимо от заголовка, если матча, будет подан ошибка 5xx вместо файла до истечения срока действия кэша. Эта уязвимость фиксируется в 10.0.5.
CVE-2026-45028Astro — это веб-фреймворк. Астро-версии до 6.1.10 использовали шифрование AES-GCM для защиты конфиденциальности и целостности параметров серверного островного реквизита и слотов, но не связывали шифротекст с предполагаемым компонентом или типом параметров. Злоумышленник может воспроизводить зашифрованное значение одного компонента (p) в качестве значения слотов (s) другого компонента или наоборот. Поскольку слоты содержат сырой неизбежный HTML, в то время как реквизит может содержать значения, контролируемые пользователем, это может привести к XSS в приложениях. Это происходит, когда приложение использует серверные острова, два разных компонента острова сервера имеют одно и то же имя ключа для реквизита и слота, а злоумышленник имеет полный контроль над значением перекрывающего реквизита (требуется динамически отображаемая страница). Эта уязвимость зафиксирована в пункте 6.1.10.
CVE-2026-33769Astro – это веб-фреймворк. От версии 2.10.10 до версии 5.18.1, эта проблема касается обеспечения соблюдения пути удаленных Установок Astro для удаленных URL-адресов, используемых серверными фетчерами, такими как конечная точка оптимизации изображения. Логика соответствия пути для /* подстановочных знаков не заякорена, поэтому имя, которое содержит разрешенный префикс позже на пути, все еще может совпадать. В результате злоумышленник может получить дорожки за пределами предполагаемого допустимого префикса на разрешенном хосте. Этот вопрос был исправлен в версии 5.18.1.