CVE-2024-56159

Versões do Astro de v5.0.3 a v5.0.7

Versões do Astro 4.16.17 e anteriores

Versões do Astro 5.0.8 e anteriores

Existe uma falha no processo de compilação do Astro, uma estrutura web para sites orientados a conteúdo, permitindo que usuários não autenticados acessem partes do código-fonte do servidor. Durante o processo de compilação, os arquivos de mapa de código-fonte para o código do servidor são movidos para uma pasta acessível publicamente. Esses arquivos podem ser recuperados por meio de uma solicitação HTTP GET não autorizada. Embora alguns arquivos do servidor sejam hashados, os arquivos relacionados ao roteador do sistema de arquivos no diretório src/pages têm nomes previsíveis, como dist/client/pages/index.astro.mjs.map para src/pages/index.astro. Esta falha é a causa principal do problema #12703. A vulnerabilidade afeta todos os projetos de saída de servidor nas versões v5.0.3 a v5.0.7 do Astro 5 com sourcemaps habilitados, e todos os projetos de saída estática compilados usando as versões 4.16.17 ou anteriores do Astro 4, ou as versões 5.0.8 ou anteriores do Astro 5, com sourcemaps habilitados. O impacto se limita à exposição do código-fonte, mas isso poderia potencialmente levar à descoberta de outras vulnerabilidades. A presença de código inseguro, como expressões regulares, poderia ser explorada.

Atualize para astro@5.0.8 ou posterior para projetos de saída de servidor.

Atualize para astro@5.0.9 ou posterior para projetos de saída estática.

Atualize para astro@4.16.18 ou posterior para projetos de saída estática do Astro 4.