Astro – это веб-фреймворк. В версиях с 9.0.0 до 9.5.3 ошибка в конвейере изображений Astro позволяет обойти «image.domains` / `image.remote…

Astro – это веб-фреймворк. В версиях с 9.0.0 до 9.5.3 ошибка в конвейере изображений Astro позволяет обойти «image.domains` / `image.remotePatterns` ограничения, позволяющие серверу получать контент от несанкционированных удаленных хостов. Astro предоставляет опцию «inferSize`», которая привносит удаленные изображения во время рендеринга для определения их размеров. Удаленные изображения предназначены для ограничения доменов, разрешенных вручную разработчиком сайта (с использованием параметров «image.domains» или «image.remotePatterns». Однако при использовании "inferSize`" проверки домена не выполняется - изображение извлекается из любого хоста независимо от настроенных ограничений. Злоумышленник, который может влиять на URL-адрес изображения (например, через контент CMS или данные, предоставленные пользователем), может заставить сервер получать от произвольных хостов. Это позволяет обойти «image.domains` / `image.remotePatterns` ограничения для выполнения запросов на стороне сервера к несанкционированным хостам. Это включает в себя риск подделки запросов на стороне сервера (SSRF) против внутренних сетевых служб и конечных точек облачных метаданных. Версия 9.5.4 устраняет проблему.