В Astro Framework обнаружена SSRF-уязвимость (CVE-2026-33769). Проблема находится в компоненте <Image /> — при загрузке изображений по внешним URL сервер можно заставить отправлять запросы к внутренним ресурсам.
Суть уязвимости
Компонент <Image /> недостаточно проверяет переданные URL. Злоумышленник передаёт специально сформированный адрес, и сервер начинает запрашивать:
- локальные ресурсы (localhost, 127.0.0.1);
- адреса внутренних сетей (10.x.x.x, 172.16.x.x, 192.168.x.x);
- метаданные облачных провайдеров (169.254.169.254).
Затронутые версии
- Astro до 4.16.17
- Astro до 5.6.2
Чем это опасно
Доступ к внутренним сервисам. Атакующий сканирует порты и сервисы, которые не должны быть доступны извне.
Кража данных. Через облачные метаданные (AWS, GCP, Azure) можно получить токены доступа, учётные данные и другую чувствительную информацию.
Обход защиты. SSRF позволяет обойти фаерволы и системы контроля доступа, которые блокируют прямые атаки на внутренние ресурсы.
Отказ в обслуживании. Массовые запросы к внутренним сервисам могут вывести их из строя.
Как исправить
Обновите Astro до версии 4.16.17 или 5.6.2 (или новее).
Проверьте код — найдите все места, где компонент
<Image />принимает пользовательские URLОграничьте права — настройте сетевые правила так, чтобы сервер не мог обращаться к внутренним ресурсам без необходимости.
Как заметить атаку
Обратите внимание на:
- запросы с сервера к адресам 10.x.x.x, 172.16.x.x, 192.168.x.x, 127.0.0.1, 169.254.169.254;
- аномально высокую загрузку изображений с необычных источников;
- в логах — попытки доступа по схемам
file://и другим нестандартным протоколам.
Источники
Рекомендуем обновляться сразу после выхода патчей для уязвимостей критического уровня.
