关键信息 漏洞概述 漏洞名称: Unauthorized third-party images in Astro’s _image endpoint 严重性: High CVE ID: CVE-2025-55303 受影响版本: - : = 9.1.1 - : >= 5.13.2, >= 4.16.19 漏洞描述 摘要: 在受影响版本的 Astro 中,使用按需渲染部署的项目中的图像优化端点允许未经授权的第三方域提供图像。 详细信息: - 按需渲染的 Astro 站点包含一个 端点,用于返回优化后的图像。 - 端点限制处理与站点捆绑的本地图像,并支持来自站点开发人员手动授权的域的远程图像。 - 受影响版本中的一个错误允许攻击者通过使用协议相对 URL 作为图像源来绕过第三方域限制。 影响 允许未经授权的第三方在受影响站点的起源上创建 URL,提供未经授权的图像内容。 对于 SVG 图像,这可能包括跨站脚本 (XSS) 的风险,如果用户点击了恶意制作的 SVG 链接。 证明概念 1. 创建一个新的最小 Astro 项目 ( )。 2. 配置使用 Node 适配器 ( )。 3. 运行 构建站点。 4. 使用 运行服务器。 5. 将 附加到预览 URL。 6. 站点将从未经授权的 域提供图像。