Astro项目披露了其Cloudflare适配器中存在一个高危漏洞,编号为CVE-2025-58179(CVSS评分7.2)。该漏洞影响使用默认图像服务部署在Cloudflare Pages或Workers上的Astro构建网站。成功利用此漏洞可能导致服务器端请求伪造(SSRF),并可能引发跨站脚本攻击(XSS)。
Astro包含一个/_image端点,用于按需生成优化版本的图像。通常,此端点将处理范围限制为:
- 与网站捆绑的本地图像。
- 开发者通过image.domains 或image.remotePatterns 明确允许的远程图像。
然而,正如安全公告所解释的,“在受影响版本的@astrojs/cloudflare适配器中存在一个缺陷,当部署在Cloudflare基础设施上时,攻击者可利用该缺陷绕过第三方域名限制,并从易受攻击的源服务器提供任意内容。”
实际上,攻击者可诱使易受攻击的服务获取并提供未授权内容。
研究人员通过创建一个配置了易受攻击Cloudflare适配器(@astrojs/cloudflare@12.6.5)的最小化Astro项目(astro@5.13.3)演示了该漏洞。部署后,附加构造的请求即可从未授权域名加载内容。
https://<victim-site>/_image?href=https://placehold.co/600x400安全公告证实:“这将从未经授权的placehold.co 域名加载占位符图像。”
该漏洞具有严重影响:
- SSRF:攻击者可滥用此缺陷迫使服务器向内部服务发起请求。
- XSS:若受害者点击恶意构造的URL,未授权内容可能通过网站源域传递,绕过信任边界。
- 内容注入:攻击者可在受影响网站上创建看似合法但实际传递恶意数据的URL。
安全公告指出:“这包括服务器端请求伪造(SSRF)风险,进而可能在用户点击恶意构造URL时引发跨站脚本攻击(XSS)。”
开发者被强烈建议升级至@astrojs/cloudflare v12.6.6或更高版本。
发表评论
您还未登录,请先登录。
登录