CVE-2026-45028

Nome do Software Vulnerável e Versões Afetadas Astro versões anteriores a 6.1.10

Descrição A criptografia AES-GCM usada para proteger a confidencialidade e a integridade dos parâmetros de props e slots de server islands não vinculava o texto cifrado ao seu componente ou tipo de parâmetro pretendido. Isso permite que um invasor repita o valor criptografado de props (p) de um componente como o valor de slots (s) de outro componente, ou vice-versa. Como os slots contêm HTML bruto não escapado, enquanto as props podem conter valores controlados pelo usuário, isso pode levar ao Cross-Site Scripting (XSS), uma técnica onde scripts maliciosos são injetados em sites confiáveis. Este problema ocorre quando uma aplicação utiliza server islands, dois componentes de server island diferentes compartilham o mesmo nome de chave para uma prop e um slot, e um invasor tem controle total sobre o valor da prop sobreposta em uma página renderizada dinamicamente.

Recomendações Atualizar para a versão 6.1.10.