Plataforma
nodejs
Componente
@astrojs/cloudflare
Corregido en
11.0.4
12.6.6
Se ha identificado una vulnerabilidad de Server-Side Request Forgery (SSRF) en la adaptación de Cloudflare de Astro (@astrojs/cloudflare). Cuando se utiliza output: 'server' y el servicio de imágenes predeterminado (imageService: 'compile'), el endpoint de optimización de imágenes no valida las URLs recibidas, permitiendo que contenido de dominios externos no autorizados sea servido. Esta vulnerabilidad afecta a versiones anteriores a 12.6.6 y puede permitir a un atacante acceder a recursos internos o realizar solicitudes a otros sistemas.
La vulnerabilidad SSRF en @astrojs/cloudflare permite a un atacante solicitar recursos desde cualquier dominio al que el servidor tenga acceso. Esto podría incluir la lectura de archivos internos sensibles, la interacción con APIs internas sin autenticación, o incluso el escaneo de la red interna en busca de otros servicios vulnerables. Un atacante podría, por ejemplo, intentar acceder a la administración de bases de datos o a paneles de control internos. El impacto potencial es alto, ya que permite elusión de controles de seguridad y acceso a información confidencial. La falta de validación de URLs es la causa principal de esta vulnerabilidad, similar a otros casos de SSRF donde la entrada del usuario no se sanitiza adecuadamente.
Esta vulnerabilidad fue publicada el 2025-09-04. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. No se han encontrado públicamente Proof of Concepts (PoCs) disponibles, lo que sugiere un riesgo de explotación relativamente bajo en este momento. Sin embargo, la naturaleza de las vulnerabilidades SSRF las hace atractivas para atacantes, por lo que se recomienda aplicar las mitigaciones lo antes posible.
Astro websites utilizing the Cloudflare adapter with output: 'server' and imageService: 'compile' are at risk. This includes developers who have integrated external image sources into their Astro projects without proper validation and those using shared hosting environments where the server configuration might be less controllable.
• nodejs / server:
npm list @astrojs/cloudflare• nodejs / server:
grep -r 'imageService: \'compile\'' ./astro.config.mjs ./astro.config.ts• generic web:
Check Astro site's /_image endpoint for unauthorized domain access by attempting to load an image from an external, non-approved domain.
disclosure
Estado del Exploit
EPSS
0.43% (62% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 12.6.6 de @astrojs/cloudflare, que incluye la corrección de esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de las URLs en el endpoint de optimización de imágenes. Esto puede incluir una lista blanca de dominios permitidos o el uso de una biblioteca de validación de URLs para asegurar que solo se procesen URLs de fuentes confiables. Además, se debe revisar la configuración del servidor para asegurar que no haya reglas de firewall que permitan el acceso a recursos internos desde el exterior. Después de la actualización, confirme que el endpoint de optimización de imágenes solo sirve imágenes de las fuentes permitidas.
Actualice el paquete `@astrojs/cloudflare` a la versión 12.6.6 o superior. Esto corrige la vulnerabilidad SSRF en el endpoint /_image. Ejecute `npm update @astrojs/cloudflare` o `yarn upgrade @astrojs/cloudflare` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58179 is a Server-Side Request Forgery vulnerability in @astrojs/cloudflare affecting Astro sites using specific configurations, allowing attackers to retrieve content from unauthorized domains.
You are affected if you use @astrojs/cloudflare version 12.6.5 or earlier and have output: 'server' and imageService: 'compile' configured in your Astro project.
Upgrade to @astrojs/cloudflare version 12.6.6 or later. Consider implementing WAF rules to filter requests to the /_image endpoint as a temporary workaround.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature suggests potential for exploitation.
Refer to the official Astro blog and GitHub repository for updates and advisories related to CVE-2025-58179.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.