HIGHCVE-2025-59837CVSS 7.2

Contournement de la validation du domaine de proxy d'image dans Astro conduit à SSRF et potentiellement XSS

Q: What is CVE-2025-59837 — XSS Bypass in Astro CMS?

CVE-2025-59837 est un contournement de correctif XSS dans Astro CMS, permettant l'exécution de scripts malveillants. Il affecte les versions antérieures à 5.13.10.

Q: Am I affected by CVE-2025-59837 in Astro CMS?

Vous êtes affecté si vous utilisez Astro CMS en version inférieure à 5.13.10.

Q: How do I fix CVE-2025-59837 in Astro CMS?

Mettez à jour Astro CMS vers la version 5.13.10 ou supérieure. Appliquez des mesures d'atténuation comme la validation d'entrée et une CSP.

Q: Is CVE-2025-59837 being actively exploited?

Bien qu'il n'y ait pas d'exploitation active confirmée, un PoC est disponible, ce qui augmente le risque.

Q: Where can I find the official Astro advisory for CVE-2025-59837?

Consultez le site web d'Astro pour l'avis officiel : https://astro.build/

Plateforme

nodejs

Composant

astro

Corrigé dans

5.13.5

5.13.10

AI Confidence: highNVDEPSS 0.1%Révisé: mai 2026

Voir sur NVD

Sauvegarder

La vulnérabilité CVE-2025-59837 représente un contournement de correctif de type XSS (Cross-Site Scripting) dans le système de gestion de contenu (CMS) Astro. Cette faille permet à un attaquant d'injecter et d'exécuter des scripts malveillants dans le navigateur d'un utilisateur, compromettant potentiellement la confidentialité et l'intégrité des données. Elle affecte les versions d'Astro antérieures à 5.13.10 et un correctif a été publié.

Impact et Scénarios d'Attaque

L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web générées par Astro. Ce code peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites web malveillants, modifier le contenu de la page web ou effectuer d'autres actions malveillantes au nom de l'utilisateur. Le contournement du correctif initial de CVE-2025-58179, qui visait à bloquer les protocoles HTTP et HTTPS, rend cette vulnérabilité particulièrement préoccupante car elle exploite une faiblesse dans la validation des URL. L'attaquant peut utiliser des séquences d'échappement avec des backslashes (\) pour contourner le filtre et injecter des charges utiles XSS.

Contexte d'Exploitation

Cette vulnérabilité a été rendue publique le 28 octobre 2025. Un proof-of-concept (PoC) est disponible publiquement, ce qui augmente le risque d'exploitation. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité de contourner le correctif initial et de la complexité potentielle de l'injection de code. Il n'y a pas d'indication d'une campagne d'exploitation active à ce jour, mais la disponibilité du PoC pourrait changer cela rapidement.

Qui Est à Risquetraduction en cours…

Websites and applications built with Astro that are running versions prior to 5.13.10 are at risk. This includes those relying on image processing or serving content dynamically. Shared hosting environments using Astro are particularly vulnerable, as they may not have control over the underlying server configuration or the ability to quickly apply updates.

Étapes de Détectiontraduction en cours…

• nodejs: Monitor application logs for requests containing backslashes in image URLs, particularly those referencing raw.githubusercontent.com. Use grep to search for patterns like \raw.githubusercontent.com in access logs.

grep '\\raw.githubusercontent.com' /var/log/nginx/access.log

• generic web: Use curl to test image endpoints with crafted URLs containing backslashes. Check for JavaScript execution in the response.

curl 'https://your-astro-site/_image?href=\\raw.githubusercontent.com/projectdiscovery/nuclei-templates/refs/heads/main/helpers/payloads/retool-xss.svg&f=svg' -s | grep -i '<script>'

Chronologie de l'Attaque

2025-10-28Disclosure
disclosure
2025-10-28PoC
poc

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu

CISA KEVNO

Exposition InternetÉlevée

EPSS

0.07% (percentile 20%)

CISA SSVC

Exploitationnone

Automatisableyes

Impact Techniquepartial

Vecteur CVSS

Logiciel Affecté

Composantastro

Fournisseurosv

Plage affectéeCorrigé dans

>= 5.13.4, < 5.13.10 – >= 5.13.4, < 5.13.105.13.5

5.13.45.13.10

Classification de Faiblesse (CWE)

CWE-918 CWE-79

Chronologie

Réservé2025-09-22
Publiée2025-10-28
Modifiée2025-10-29
EPSS mis à jour2026-03-23

Mitigation et Contournements

La mitigation principale consiste à mettre à jour Astro vers la version 5.13.10 ou supérieure, qui inclut le correctif pour cette vulnérabilité. En attendant la mise à jour, des mesures d'atténuation peuvent être mises en œuvre, telles que la validation stricte de toutes les entrées utilisateur et l'utilisation d'une politique de sécurité du contenu (CSP) pour limiter les sources de scripts autorisées. Il est également recommandé de surveiller les journaux d'accès et d'erreur pour détecter toute activité suspecte, notamment les tentatives d'injection de code JavaScript. Un WAF (Web Application Firewall) configuré pour bloquer les requêtes contenant des séquences d'échappement inhabituelles pourrait également aider à atténuer le risque.

Comment corriger

Mettez à jour Astro à la version 5.13.10 ou supérieure. Cette version contient la correction pour la vulnérabilité de SSRF et XSS. Exécutez `npm update astro` ou `yarn upgrade astro` pour mettre à jour vers la version la plus récente.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentes

What is CVE-2025-59837 — XSS Bypass in Astro CMS?