CVE-2026-27729

Nome do Software Vulnerável e Versões Afetadas Versões 9.0.0 a 9.5.3 do Astro

Descrição As ações do servidor do Astro não possuem um limite padrão para o tamanho do corpo da solicitação, o que pode levar a uma negação de serviço (DoS) por exaustão de memória. Uma solicitação POST grande para um endpoint de ação válido pode causar a falha do processo do servidor, especialmente em implantações com memória limitada. A vulnerabilidade ocorre porque o Astro processa automaticamente os corpos das solicitações recebidas (JSON ou FormData) na memória sem nenhuma restrição de tamanho. Isso permite que um atacante envie uma solicitação com tamanho excessivo, esgotando o heap do processo e causando a queda do servidor. Em ambientes containerizados, isso pode resultar em um ciclo persistente de queda e reinicialização. A vulnerabilidade pode ser explorada sem autenticação, já que os nomes das ações podem ser descobertos a partir dos atributos de formulários HTML em páginas públicas.

Recomendações Atualize para a versão 9.5.4 do Astro ou superior.