Katalog CVE

CVE-2026-50146

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

Astro to framework webowy, który przed wersją 6.3.3 miał lukę, w której komponenty używające dyrektywy client:* wstawiały zawartość slotu do atrybutu data-astro-template bez odpowiedniego zabezpieczenia, co umożliwiało atakującemu wstrzyknięcie dowolnego HTML i prowadziło do odzwierciedlonego XSS podczas SSR.

Ocena ryzyka

Luka ta stwarza ryzyko wstrzyknięcia złośliwego kodu HTML, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Organizacje powinny być świadome potencjalnych ataków XSS, które mogą wpłynąć na ich aplikacje webowe.

Rekomendacja

Zaleca się aktualizację do wersji 6.3.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji w celu identyfikacji innych potencjalnych luk.

Oryginalny opis (angielski, źródło NVD)

Astro is a web framework. Prior to 6.3.3, when a component uses a client:* directive, Astro inserts named slot content into a data-astro-template attribute without HTML escaping the slot name allowing an attacker to break out of the attribute context and inject arbitrary HTML, resulting in reflected XSS during SSR. This vulnerability is fixed in 6.3.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS