CVE-2026-27729

Astro es un framework web. En las versiones 9.0.0 a 9.5.3, las acciones del servidor de Astro no tienen un límite de tamaño de cuerpo de solicitud predeterminado, lo que puede llevar a una DoS por agotamiento de memoria. Una única solicitud POST grande a un endpoint de acción válido puede colapsar el proceso del servidor en despliegues con restricciones de memoria. Los sitios renderizados bajo demanda construidos con Astro pueden definir acciones de servidor, que analizan automáticamente los cuerpos de las solicitudes entrantes (JSON o FormData). El cuerpo se almacena completamente en la memoria sin límite de tamaño — una única solicitud sobredimensionada es suficiente para agotar el heap del proceso y colapsar el servidor. El adaptador de Node de Astro ('mode: 'standalone'') crea un servidor HTTP sin protección de tamaño de cuerpo. En entornos contenerizados, el proceso colapsado se reinicia automáticamente, y las solicitudes repetidas causan un bucle persistente de colapso-reinicio. Los nombres de las acciones son detectables a partir de los atributos de los formularios HTML en cualquier página pública, por lo que no se requiere autenticación. La vulnerabilidad permite la denegación de servicio no autenticada contra despliegues SSR standalone que utilizan acciones de servidor. Una única solicitud sobredimensionada colapsa el proceso del servidor, y las solicitudes repetidas causan un bucle persistente de colapso-reinicio en entornos contenerizados. La versión 9.5.4 contiene una solución.