Plateforme
nodejs
Composant
@astrojs/cloudflare
Corrigé dans
11.0.4
12.6.6
Une vulnérabilité de type SSRF (Server-Side Request Forgery) a été découverte dans le module @astrojs/cloudflare utilisé avec Astro. Cette faille permet à un attaquant de servir du contenu provenant de domaines tiers non autorisés via l'endpoint d'optimisation d'images (/_image). Elle affecte les versions antérieures à 12.6.6 et peut compromettre la sécurité de l'application.
L'exploitation de cette vulnérabilité permet à un attaquant de contourner les restrictions de domaine et d'accéder à des ressources internes ou externes via le serveur. Un attaquant pourrait potentiellement lire des fichiers sensibles, interagir avec des API internes ou même lancer des attaques contre d'autres systèmes en utilisant le serveur comme proxy. Le risque est amplifié si l'application utilise des informations d'identification stockées sur le serveur pour accéder à des ressources externes, car l'attaquant pourrait les voler indirectement.
Cette vulnérabilité a été rendue publique le 4 septembre 2025. Il n'y a pas d'indication d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la complexité de la configuration requise et de la nécessité d'accéder à l'endpoint /_image. Aucun PoC public n'a été identifié.
Astro websites utilizing the Cloudflare adapter with output: 'server' and imageService: 'compile' are at risk. This includes developers who have integrated external image sources into their Astro projects without proper validation and those using shared hosting environments where the server configuration might be less controllable.
• nodejs / server:
npm list @astrojs/cloudflare• nodejs / server:
grep -r 'imageService: \'compile\'' ./astro.config.mjs ./astro.config.ts• generic web:
Check Astro site's /_image endpoint for unauthorized domain access by attempting to load an image from an external, non-approved domain.
disclosure
Statut de l'Exploit
EPSS
0.43% (percentile 62%)
CISA SSVC
Vecteur CVSS
La solution principale est de mettre à jour le module @astrojs/cloudflare vers la version 12.6.6 ou supérieure. En attendant, il est possible de mettre en place des mesures de protection temporaires. Configurez un WAF (Web Application Firewall) pour bloquer les requêtes vers l'endpoint /image provenant de domaines non autorisés. Vérifiez attentivement la configuration de imageService et assurez-vous que les domaines autorisés sont correctement définis. Après la mise à jour, vérifiez que l'endpoint /image ne sert plus de contenu provenant de sources non autorisées en effectuant des tests de pénétration.
Mettez à jour le paquet `@astrojs/cloudflare` à la version 12.6.6 ou supérieure. Cela corrige la vulnérabilité SSRF dans l'endpoint /_image. Exécutez `npm update @astrojs/cloudflare` ou `yarn upgrade @astrojs/cloudflare` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-58179 est une vulnérabilité SSRF dans le module @astrojs/cloudflare, permettant à un attaquant de servir du contenu non autorisé via l'endpoint d'optimisation d'images.
Vous êtes affecté si vous utilisez @astrojs/cloudflare avec output: 'server' et imageService: 'compile' et que vous n'avez pas mis à jour vers la version 12.6.6 ou supérieure.
Mettez à jour @astrojs/cloudflare vers la version 12.6.6 ou supérieure. En attendant, configurez un WAF pour bloquer les requêtes non autorisées.
À ce jour, il n'y a aucune indication d'exploitation active de CVE-2025-58179.
Consultez la documentation officielle d'Astro pour obtenir des informations sur CVE-2025-58179 et les mesures correctives recommandées.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.