CVE-2024-47885

Versões do Astro 3.0.0 a 4.16.0

A estrutura web Astro possui uma vulnerabilidade de tipo DOM Clobbering no roteador do lado do cliente. Esse problema pode levar a ataques de cross-site scripting (XSS) em sites que habilitam o roteamento do lado do cliente do Astro e que armazenam elementos HTML sem script controlados por invasores, como tags iframe com atributos name não sanitizados, nas páginas de destino. A vulnerabilidade pode resultar em ataques XSS em sites criados com o Astro que habilitam o roteamento do lado do cliente com ViewTransitions e armazenam tags HTML sem script inseridas pelo usuário sem sanitizar adequadamente os atributos name na página.

Para as versões do Astro 3.0.0 a 4.16.0, atualize para a versão 4.16.1 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso de roteamento do lado do cliente até que um patch seja aplicado. Restrinja o acesso ao módulo de roteador do lado do cliente para minimizar o risco de exploração. Evite usar atributos name não sanitizados em tags iframe dentro dos endpoints de API afetados até que o problema seja resolvido.