Platform
nodejs
Component
@astrojs/cloudflare
Opgelost in
11.0.4
12.6.6
Deze kwetsbaarheid treedt op in de Astro Cloudflare adapter (@astrojs/cloudflare) wanneer deze is geconfigureerd met output: 'server' en de standaard imageService: 'compile' gebruikt. De gegenereerde image optimization endpoint (/_image) valideert niet de URLs die het ontvangt, waardoor content van ongeautoriseerde externe domeinen kan worden geserveerd. Dit is een Server-Side Request Forgery (SSRF) kwetsbaarheid. Beïnvloede versies zijn alle versies van @astrojs/cloudflare lager dan 12.6.6. Een update naar versie 12.6.6 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid stelt een aanvaller in staat om interne resources te benaderen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot data-exfiltratie, configuratie-informatie onthulling, of zelfs toegang tot interne systemen via de image optimization endpoint. De impact is verhoogd omdat de endpoint vaak openbaar toegankelijk is. Hoewel de kwetsbaarheid specifiek betrekking heeft op image optimization, kan deze worden misbruikt om andere interne services te bereiken die door de server worden blootgesteld. Het is vergelijkbaar met SSRF-kwetsbaarheden die in andere web frameworks zijn aangetroffen, waarbij de server wordt misleid om verzoeken naar interne bronnen te sturen.
Deze kwetsbaarheid is openbaar bekend sinds 2025-09-04. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de SSRF-aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren. De kans op actieve exploitatie is momenteel als 'medium' ingeschat, gezien de openbare bekendmaking en de relatieve eenvoud van de exploitatie. Er is geen vermelding op de CISA KEV catalogus op dit moment.
Astro websites utilizing the Cloudflare adapter with output: 'server' and imageService: 'compile' are at risk. This includes developers who have integrated external image sources into their Astro projects without proper validation and those using shared hosting environments where the server configuration might be less controllable.
• nodejs / server:
npm list @astrojs/cloudflare• nodejs / server:
grep -r 'imageService: \'compile\'' ./astro.config.mjs ./astro.config.ts• generic web:
Check Astro site's /_image endpoint for unauthorized domain access by attempting to load an image from an external, non-approved domain.
disclosure
Exploit Status
EPSS
0.43% (62% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van @astrojs/cloudflare naar versie 12.6.6 of hoger. Als een directe upgrade niet mogelijk is, kan een tijdelijke oplossing het implementeren van een Web Application Firewall (WAF) zijn om verzoeken naar de /_image endpoint te filteren en ongeautoriseerde domeinen te blokkeren. Een andere workaround is het configureren van de imageService naar een andere optie dan 'compile' die betere validatie biedt. Controleer ook de configuratie van uw Astro project om er zeker van te zijn dat er geen onnodige interne services worden blootgesteld. Na de upgrade, controleer de image optimization endpoint met een reeks URLs van verschillende domeinen om te bevestigen dat alleen geautoriseerde bronnen worden toegestaan.
Werk het pakket `@astrojs/cloudflare` bij naar versie 12.6.6 of hoger. Dit corrigeert de SSRF (Server-Side Request Forgery) kwetsbaarheid in het /_image endpoint. Voer `npm update @astrojs/cloudflare` of `yarn upgrade @astrojs/cloudflare` uit om bij te werken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-58179 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de @astrojs/cloudflare adapter, waardoor ongeautoriseerde externe content kan worden geserveerd.
Ja, als u @astrojs/cloudflare gebruikt in versie 12.6.6 of lager, bent u kwetsbaar voor deze SSRF-kwetsbaarheid.
Upgrade @astrojs/cloudflare naar versie 12.6.6 of hoger. Implementeer een WAF als tijdelijke oplossing.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie, maar de kwetsbaarheid is openbaar bekend en relatief eenvoudig te exploiteren.
Raadpleeg de officiële Astro documentatie en GitHub repository voor de meest recente informatie over deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.