| タイトル | Astroにおける複数の脆弱性 |
|---|---|
| 概要 | Astroはウェブフレームワークです。Astroの6.1.10以前のバージョンでは、サーバーアイランドのpropsおよびslotsパラメーターの機密性と整合性を保護するためにAES-GCM暗号化を使用していましたが、暗号文を意図されたコンポーネントやパラメータータイプに紐付けていませんでした。攻撃者は、あるコンポーネントの暗号化されたprops(p)の値を別のコンポーネントのslots(s)の値として再生する、またはその逆を行うことが可能でした。slotsには生のエスケープされていないHTMLが含まれ、propsにはユーザー制御の値が含まれる可能性があるため、これはアプリケーションにおけるXSS(クロスサイトスクリプティング)につながる可能性があります。この脆弱性は、アプリケーションがサーバーアイランドを使用し、2つの異なるサーバーアイランドコンポーネントがpropとslotで同じキー名を共有し、攻撃者が重複するpropの値を完全に制御できる場合(動的にレンダリングされるページが必要な場合)に発生します。この脆弱性は6.1.10で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月13日0:00 |
| 登録日 | 2026年5月18日12:10 |
| 最終更新日 | 2026年5月18日12:10 |
| CVSS3.0 : 警告 | |
| スコア | 6.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| Astro |
| Astro 6.1.10 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月18日] 掲載 |
2026年5月18日12:10 |
| 概要 | Astro is a web framework. Astro versions prior to 6.1.10 used AES-GCM encryption to protect the confidentiality and integrity of server island props and slots parameters, but did not bind the ciphertext to its intended component or parameter type. An attacker could replay one component's encrypted props (p) value as another component's slots (s) value, or vice versa. Since slots contain raw unescaped HTML while props may contain user-controlled values, this could lead to XSS in applications. This occurs when the application uses server islands, two different server island components share the same key name for a prop and a slot, and an attacker has full control over the value of the overlapping prop (requires a dynamically rendered page). This vulnerability is fixed in 6.1.10. |
|---|---|
| 公表日 | 2026年5月14日1:17 |
| 登録日 | 2026年5月15日4:21 |
| 最終更新日 | 2026年5月14日22:28 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:astro:astro:*:*:*:*:*:node.js:*:* | 6.1.10 | ||||