CVE-2026-25545

Nome do Software Vulnerável e Versões Afetadas Versões do Astro anteriores a 9.5.4

Descrição O Astro, um framework web, é afetado por uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF) em versões anteriores a 9.5.4. Páginas renderizadas no lado do servidor que retornam um erro com uma página de erro personalizada pré-renderizada (como 404.astro ou 500.astro) são suscetíveis. Se o cabeçalho Host: for manipulado para apontar para o servidor do invasor, ele pode ser recuperado ao solicitar um recurso como /500.html, permitindo o redirecionamento para qualquer URL interna e possibilitando ao invasor ler o corpo da resposta da solicitação inicial. Um invasor pode acessar o aplicativo sem validação do cabeçalho Host:, possivelmente descobrindo o endereço IP de origem por trás de um proxy, e fazer com que o servidor solicite seu próprio servidor para redirecionar para endereços IP internos. Isso permite o acesso aos IPs de metadados da nuvem e interação com serviços dentro da rede interna ou no localhost. O problema requer acesso direto ao servidor sem proxies intermediários.

Recomendações Atualize para a versão 9.5.4 do Astro ou posterior.