プラットフォーム
nodejs
コンポーネント
astro
修正版
5.13.5
5.13.10
CVE-2025-59837は、Astro Content Management Systemにおけるパッチ回避によるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、CVE-2025-58179の修正を回避するもので、攻撃者はバックラッシュ(\)を使用してサーバーサイドフェッチをトリガーし、悪意のあるスクリプトを実行する可能性があります。Astro 5.13.10以降にアップデートすることでこの脆弱性は修正されています。
このXSS脆弱性を悪用されると、攻撃者はユーザーが閲覧するWebページに悪意のあるスクリプトを挿入し、セッションハイジャック、フィッシング詐欺、マルウェア感染などの攻撃を実行できます。特に、攻撃者は画像リクエストを悪用し、_imageエンドポイントを通じてスクリプトを注入する可能性があります。この脆弱性は、Astro CMSを利用しているWebサイトの機密情報漏洩や、ユーザーの不正な操作につながる可能性があります。攻撃者は、この脆弱性を利用して、Webサイトの管理権限を奪取し、Webサイト全体を改ざんする可能性も考えられます。
この脆弱性は、CVE-2025-58179のパッチ回避として発見されました。公開されているPoCが存在し、攻撃者がこの脆弱性を悪用する可能性は高いと考えられます。CISA KEVへの登録状況は不明ですが、XSS脆弱性であるため、攻撃対象となりやすいと考えられます。NVD公開日は2025年10月28日です。
Websites and applications built with Astro that are running versions prior to 5.13.10 are at risk. This includes those relying on image processing or serving content dynamically. Shared hosting environments using Astro are particularly vulnerable, as they may not have control over the underlying server configuration or the ability to quickly apply updates.
• nodejs: Monitor application logs for requests containing backslashes in image URLs, particularly those referencing raw.githubusercontent.com. Use grep to search for patterns like \raw.githubusercontent.com in access logs.
grep '\\raw.githubusercontent.com' /var/log/nginx/access.log• generic web: Use curl to test image endpoints with crafted URLs containing backslashes. Check for JavaScript execution in the response.
curl 'https://your-astro-site/_image?href=\\raw.githubusercontent.com/projectdiscovery/nuclei-templates/refs/heads/main/helpers/payloads/retool-xss.svg&f=svg' -s | grep -i '<script>'disclosure
poc
エクスプロイト状況
EPSS
0.07% (20% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずAstro CMSをバージョン5.13.10以降にアップデートすることを推奨します。アップデートが困難な場合は、Webアプリケーションファイアウォール(WAF)やリバースプロキシを設定し、バックラッシュを含む不正なリクエストをブロックするルールを実装してください。また、入力値のサニタイズやエスケープ処理を徹底し、XSS攻撃を未然に防ぐための対策を講じることが重要です。Astro CMSのセキュリティに関する最新情報を常に確認し、適切な対策を講じるようにしてください。
Astroをバージョン5.13.10以降にアップデートしてください。このバージョンには、SSRFおよびXSSの脆弱性に対する修正が含まれています。`npm update astro`または`yarn upgrade astro`を実行して、最新バージョンにアップデートしてください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-59837は、Astro CMSのパッチ回避によるクロスサイトスクリプティング(XSS)脆弱性です。攻撃者はバックラッシュ(\)を使用してサーバーサイドフェッチをトリガーし、悪意のあるスクリプトを実行できます。
はい、Astro 5.13.10以前のバージョンを使用している場合、この脆弱性により、Webサイトの機密情報漏洩や、ユーザーの不正な操作につながる可能性があります。
Astro CMSをバージョン5.13.10以降にアップデートすることを推奨します。アップデートが困難な場合は、WAFやリバースプロキシを設定し、不正なリクエストをブロックしてください。
公開されているPoCが存在するため、攻撃者がこの脆弱性を悪用する可能性は高いと考えられます。
Astroの公式アドバイザリは、[https://astro.build/](https://astro.build/)で確認できます。