CVE-2026-33768Astro Web框架的@astrojs/vercel无服务器入口点在10.0.2版本之前存在漏洞。它读取x-astro-path头部或x_astro_path参数来重写内部路径,且无任何身份验证。攻击者可利用此特性绕过Vercel平台级的路径限制,访问受保护的管理端点或API,且支持POST、PUT、DELETE等方法,导致未授权操作。
该漏洞源于Astro框架的@astrojs/vercel无服务器入口点在处理请求时存在逻辑缺陷。在10.0.2版本之前,入口点会无条件地读取HTTP请求头中的`x-astro-path`或URL查询参数中的`x_astro_path`,并将其值用于重写内部请求的目标路径。这一过程完全绕过了身份验证机制,且未对请求来源进行合法性校验。在未部署Edge Middleware的环境中,攻击者可利用此特性绕过Vercel平台设置的路径访问限制。由于该机制保留了原始请求的HTTP方法(如POST、PUT、DELETE)和请求体,攻击者不仅能够访问受限页面,还能对受限端点(如`/admin/delete-user`)执行破坏性操作,使得基于路径的防火墙规则失效。