CVE-2025-61925

Nome do Software Vulnerável e Versões Afetadas Versões do Astro anteriores a 5.14.2

Descrição O Astro, um framework web, não valida o cabeçalho X-Forwarded-Host ao utilizar Astro.url, levando à potencial manipulação de valores de saída. Uma solicitação maliciosa com cabeçalhos Host e X-Forwarded-Host divergentes pode fazer com que o Astro retorne o valor malicioso do cabeçalho X-Forwarded-Host. Isso pode afetar o uso de Astro.url no código, como em links canônicos ou URLs de formulários, potencialmente redirecionando usuários para sites maliciosos ou comprometendo credenciais de login. O impacto é amplificado quando um proxy de cache é utilizado, pois o valor malicioso pode ser armazenado em cache e servido a usuários subsequentes. O problema afeta aqueles que utilizam o Astro no modo de renderização sob demanda/dinâmica atrás de um proxy de cache. O componente vulnerável é o tratamento do cabeçalho X-Forwarded-Host e sua reflexão em Astro.url.

Recomendações Atualize o Astro para a versão 5.14.2 ou posterior.