CVE-2024-56140

Versões do Astro anteriores à 4.16.17

Um bug no middleware de proteção contra CSRF do Astro permite que solicitações contornem as verificações de CSRF. Quando a opção de configuração security.checkOrigin está definida como true, o middleware do Astro realiza uma verificação de CSRF. No entanto, existe uma vulnerabilidade que permite contornar essa proteção. É permitido um parâmetro delimitado por ponto-e-vírgula após o tipo em Content-Type. Os navegadores da Web tratarão um Content-Type como application/x-www-form-urlencoded; abc como uma solicitação simples e não realizarão a validação prévia. Nesse caso, o CSRF não é bloqueado como esperado. Além disso, o cabeçalho Content-Type não é obrigatório para uma solicitação.

Para versões anteriores à 4.16.17, atualize para a versão 4.16.17 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso da opção de configuração security.checkOrigin até que um patch esteja disponível. Evite usar o cabeçalho Content-Type com um parâmetro delimitado por ponto-e-vírgula nos pontos de extremidade da API afetados até que o problema seja resolvido. Restrinja o acesso ao middleware Astro para minimizar o risco de exploração.