HIGHCVE-2025-58179CVSS 7.2

Astro Cloudflareアダプターの/_imageエンドポイントにおけるサーバーサイドリクエストフォージェリ (SSRF)

Q: CVE-2025-58179 — SSRF in @astrojs/cloudflareとは何ですか？

CVE-2025-58179は、AstroのCloudflareアダプターにおける、画像最適化エンドポイントのSSRF脆弱性です。攻撃者はこの脆弱性を悪用して、不正なドメインのコンテンツを配信することが可能です。

Q: CVE-2025-58179 in @astrojs/cloudflareに影響を受けますか？

AstroのCloudflareアダプターをバージョン12.6.6以前で使用している場合は、影響を受ける可能性があります。バージョン12.6.6以上にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2025-58179 in @astrojs/cloudflareを修正するにはどうすればよいですか？

@astrojs/cloudflareをバージョン12.6.6以上にアップデートしてください。アップデートが難しい場合は、Cloudflareの設定でアクセスを制限するなどの回避策を検討してください。

Q: CVE-2025-58179に関する@astrojs/cloudflareの公式アドバイザリはどこで入手できますか？

@astrojs/cloudflareの公式アドバイザリは、https://astro.build/security を参照してください。

プラットフォーム

nodejs

コンポーネント

@astrojs/cloudflare

修正版

11.0.4

12.6.6

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-58179は、AstroのCloudflareアダプター（@astrojs/cloudflare）におけるサーバーサイドリクエストフォワード（SSRF）脆弱性です。この脆弱性は、出力が'server'に設定され、画像サービスが'compile'に設定されている場合に発生します。攻撃者は、画像最適化エンドポイントを悪用し、不正なドメインからコンテンツを読み込み、サイトを通じて配信することが可能になります。影響を受けるバージョンは12.6.6以前であり、バージョン12.6.6へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者はAstroサイトの画像最適化エンドポイントを介して、内部ネットワークリソースや機密情報にアクセスする可能性があります。例えば、攻撃者は内部APIを呼び出したり、認証情報を取得したり、機密データを盗み出すことが考えられます。また、この脆弱性は、攻撃者がサイトの信頼性を利用して、他のシステムへの攻撃の足がかりとして利用される可能性もあります。攻撃者は、不正なドメインからコンテンツを配信することで、ユーザーをフィッシングサイトに誘導したり、マルウェアを拡散したりする可能性があります。

悪用の状況

この脆弱性は、2025年9月4日に公開されました。現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。

リスク対象者翻訳中…

Astro websites utilizing the Cloudflare adapter with output: 'server' and imageService: 'compile' are at risk. This includes developers who have integrated external image sources into their Astro projects without proper validation and those using shared hosting environments where the server configuration might be less controllable.

検出手順翻訳中…

• nodejs / server:

  npm list @astrojs/cloudflare

• nodejs / server:

  grep -r 'imageService: \'compile\'' ./astro.config.mjs ./astro.config.ts

• generic web: Check Astro site's /_image endpoint for unauthorized domain access by attempting to load an image from an external, non-approved domain.

攻撃タイムライン

2025-09-04Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.43% (62% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネント@astrojs/cloudflare

ベンダーosv

影響範囲修正版

>= 11.0.3, < 12.6.6 – >= 11.0.3, < 12.6.611.0.4

11.0.312.6.6

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-08-27
公開日2025-09-04
更新日2025-09-05
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への主な対策は、@astrojs/cloudflareをバージョン12.6.6以上にアップデートすることです。アップデートがすぐに難しい場合は、Cloudflareの設定で、画像最適化エンドポイントへのアクセスを許可するドメインを厳密に制限するなどの回避策を検討してください。また、WAF（Web Application Firewall）を導入し、不正なリクエストを検知・ブロックすることも有効です。画像最適化エンドポイントへのアクセスログを監視し、異常なアクセスパターンを検出することも重要です。アップデート後、画像最適化エンドポイントにアクセスし、期待通りの動作であることを確認してください。

修正方法

パッケージ `@astrojs/cloudflare` をバージョン 12.6.6 以降にアップデートしてください。これにより、/_imageエンドポイントのSSRF脆弱性が修正されます。`npm update @astrojs/cloudflare` または `yarn upgrade @astrojs/cloudflare` を実行してアップデートしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-58179 — SSRF in @astrojs/cloudflareとは何ですか？