CVE-2025-64765

Nome do Software Vulnerável e Versões Afetadas Versões do Astro anteriores a 5.15.8

Descrição As versões do Astro anteriores a 5.15.8 contêm uma discrepância de normalização de caminho entre como o framework roteia solicitações e como o middleware as valida. O Astro usa decodeURI() para determinar a rota, enquanto o middleware usa context.url.pathname sem a mesma normalização. Isso permite que atacantes contornem verificações de validação e acessem rotas protegidas usando variantes de caminho codificadas. O código vulnerável está localizado na lógica de tratamento de solicitações, especificamente onde o pathname é determinado para roteamento e renderização versus seu uso no contexto do middleware. O problema surge porque context.url.pathname retorna o caminho bruto, não normalizado, enquanto o processo de roteamento usa a versão decodificada. Um exemplo de solicitação que poderia contornar a verificação é GET /%61dmin HTTP/1.1. A causa raiz é a aplicação inconsistente de decodeURI() durante o processamento do caminho.

Recomendações Atualize para a versão 5.15.8 ou posterior do Astro.