平台
nodejs
组件
@astrojs/cloudflare
修复版本
11.0.4
12.6.6
CVE-2025-58179 描述了 @astrojs/cloudflare 适配器中的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者通过 Astro 站点上的 /_image 图像优化端点从未经授权的第三方域名获取内容。此漏洞影响使用 output: 'server' 配置的 Astro 站点,特别是当 imageService: 'compile' 时。建议升级到 12.6.6 版本以解决此问题。
攻击者可以利用此 SSRF 漏洞绕过图像优化端点的安全限制,并从任意外部域名获取数据。这可能导致敏感信息的泄露,例如内部网络资源、云存储凭据或 API 密钥。攻击者还可以利用此漏洞执行其他恶意操作,例如扫描内部网络、发起拒绝服务攻击或访问受保护的资源。由于 Astro 站点通常用于托管公共内容,因此此漏洞可能对网站的可用性和安全性构成重大威胁。
目前没有公开的漏洞利用程序 (PoC),但该漏洞的潜在影响很高。该漏洞已于 2025 年 9 月 4 日公开,并被添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,并及时采取缓解措施。
Astro websites utilizing the Cloudflare adapter with output: 'server' and imageService: 'compile' are at risk. This includes developers who have integrated external image sources into their Astro projects without proper validation and those using shared hosting environments where the server configuration might be less controllable.
• nodejs / server:
npm list @astrojs/cloudflare• nodejs / server:
grep -r 'imageService: \'compile\'' ./astro.config.mjs ./astro.config.ts• generic web:
Check Astro site's /_image endpoint for unauthorized domain access by attempting to load an image from an external, non-approved domain.
disclosure
漏洞利用状态
EPSS
0.43% (62% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级到 @astrojs/cloudflare 适配器的 12.6.6 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制 /image 端点的访问权限,例如使用防火墙或访问控制列表 (ACL);验证 /image 端点接收到的 URL,以确保它们来自可信的域名;禁用 imageService: 'compile' 并使用其他图像优化方法。升级后,请检查 /_image 端点是否不再允许从未经授权的域名获取内容。
将 `@astrojs/cloudflare` 包更新到版本 12.6.6 或更高版本。这修复了 /_image 端点的 SSRF 漏洞。运行 `npm update @astrojs/cloudflare` 或 `yarn upgrade @astrojs/cloudflare` 进行更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-58179 是 @astrojs/cloudflare 适配器中的服务器端请求伪造 (SSRF) 漏洞,允许攻击者从未经授权的第三方域名获取内容。
如果您使用 @astrojs/cloudflare 适配器,且配置了 output: 'server' 和 imageService: 'compile',并且版本低于 12.6.6,则您可能受到影响。
升级到 @astrojs/cloudflare 适配器的 12.6.6 或更高版本。如果无法升级,请考虑限制端点访问或验证 URL。
目前没有公开的漏洞利用程序,但该漏洞的潜在影响很高,建议及时采取缓解措施。
请访问 @astrojs/cloudflare 的官方网站或 GitHub 仓库,查找有关此漏洞的公告和修复信息。