Pho9Ubenaa

**Nome do Software Vulnerável e Versões Afetadas** Versões do Astro de 9.0.0 a 9.5.3 **Descrição** O pipeline de imagens do Astro contém uma falha que permite contornar as restrições `image.domains` / `image.remotePatterns`, permitindo que o servidor busque conteúdo de hosts remotos não autorizados. A opção `inferSize`, usada para determinar as dimensões da imagem no momento da renderização, não realiza validação de domínio quando ativa, permitindo a obtenção de imagens de qualquer host, independentemente das restrições configuradas. Um atacante que influencie a URL da imagem, seja através de conteúdo de CMS ou dados fornecidos pelo usuário, pode fazer com que o servidor busque conteúdo de hosts arbitrários, potencialmente levando a uma falsificação de solicitação no lado do servidor (SSRF) contra serviços de rede internos e endpoints de metadados de nuvem. O endpoint da API usado para obtenção de imagens não é mencionado explicitamente. A variável `src` dentro da função `getImage` é usada para especificar a URL da imagem. **Recomendações** Atualize para a versão 9.5.4 do Astro ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões 9.0.0 a 9.5.3 do Astro **Descrição** As ações do servidor do Astro não possuem um limite padrão para o tamanho do corpo da solicitação, o que pode levar a uma negação de serviço (DoS) por exaustão de memória. Uma solicitação POST grande para um endpoint de ação válido pode causar a falha do processo do servidor, especialmente em implantações com memória limitada. A vulnerabilidade ocorre porque o Astro processa automaticamente os corpos das solicitações recebidas (JSON ou FormData) na memória sem nenhuma restrição de tamanho. Isso permite que um atacante envie uma solicitação com tamanho excessivo, esgotando o heap do processo e causando a queda do servidor. Em ambientes containerizados, isso pode resultar em um ciclo persistente de queda e reinicialização. A vulnerabilidade pode ser explorada sem autenticação, já que os nomes das ações podem ser descobertos a partir dos atributos de formulários HTML em páginas públicas. **Recomendações** Atualize para a versão 9.5.4 do Astro ou superior.