Plataforma
nodejs
Componente
@astrojs/cloudflare
Corrigido em
11.0.4
12.6.6
A vulnerabilidade CVE-2025-58179 é uma falha de Server-Side Request Forgery (SSRF) encontrada no adaptador Cloudflare do Astro (@astrojs/cloudflare) quando configurado com output: 'server' e utilizando o serviço padrão de otimização de imagens (imageService: 'compile'). Essa falha permite que atacantes acessem recursos de domínios externos não autorizados, potencialmente expondo informações sensíveis ou permitindo acesso a sistemas internos. A vulnerabilidade afeta versões anteriores a 12.6.6 e pode ser mitigada com a atualização para a versão corrigida.
Um atacante pode explorar essa vulnerabilidade enviando requisições maliciosas para o endpoint de otimização de imagens (/_image) do Astro, especificando URLs de domínios externos não autorizados. O servidor, ao tentar otimizar essas imagens, pode revelar informações sensíveis sobre a infraestrutura interna ou até mesmo permitir o acesso a outros serviços internos que não deveriam ser acessíveis externamente. O impacto potencial inclui a exposição de dados confidenciais, a execução de código arbitrário em sistemas internos e a comprometimento da integridade da aplicação. Essa vulnerabilidade se assemelha a outros ataques SSRF, onde a falta de validação de URLs permite o acesso a recursos não intencionais.
A vulnerabilidade foi publicada em 2025-09-04. Não há informações disponíveis sobre a existência de KEV ou EPSS score. Não há public proof-of-concept (PoC) conhecido no momento, mas a natureza da vulnerabilidade SSRF a torna potencialmente explorável. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Astro websites utilizing the Cloudflare adapter with output: 'server' and imageService: 'compile' are at risk. This includes developers who have integrated external image sources into their Astro projects without proper validation and those using shared hosting environments where the server configuration might be less controllable.
• nodejs / server:
npm list @astrojs/cloudflare• nodejs / server:
grep -r 'imageService: \'compile\'' ./astro.config.mjs ./astro.config.ts• generic web:
Check Astro site's /_image endpoint for unauthorized domain access by attempting to load an image from an external, non-approved domain.
disclosure
Status do Exploit
EPSS
0.43% (percentil 62%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o @astrojs/cloudflare para a versão 12.6.6 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere as seguintes medidas de mitigação: configure um firewall de aplicação web (WAF) para bloquear requisições para o endpoint /image que contenham URLs de domínios não autorizados; implemente regras de proxy para restringir o acesso do servidor a domínios externos; revise a configuração do Astro para garantir que apenas domínios confiáveis sejam permitidos para otimização de imagens. Após a atualização, confirme a correção verificando se o endpoint /image agora valida corretamente as URLs de entrada.
Atualize o pacote `@astrojs/cloudflare` para a versão 12.6.6 ou superior. Isso corrige a vulnerabilidade SSRF no endpoint /_image. Execute `npm update @astrojs/cloudflare` ou `yarn upgrade @astrojs/cloudflare` para atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-58179 é uma vulnerabilidade de Server-Side Request Forgery (SSRF) no adaptador Cloudflare do Astro, permitindo acesso a recursos externos não autorizados.
Se você usa @astrojs/cloudflare com output: 'server' e imageService: 'compile' em versões anteriores a 12.6.6, você está potencialmente afetado.
Atualize o @astrojs/cloudflare para a versão 12.6.6 ou superior. Se a atualização não for possível, aplique medidas de mitigação como WAF ou regras de proxy.
Não há confirmação de exploração ativa no momento, mas a natureza da vulnerabilidade SSRF a torna potencialmente explorável.
Consulte o site oficial do Astro e o changelog do @astrojs/cloudflare para obter informações detalhadas sobre a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.