Vulnerabilidad en Astro (CVE-2026-27829)

Astro es un framework web. En las versiones 9.0.0 a 9.5.3, un error en la pipeline de imágenes de Astro permite eludir las restricciones de `image.domains` / `image.remotePatterns`, lo que permite al servidor obtener contenido de hosts remotos no autorizados. Astro proporciona una opción `inferSize` que obtiene imágenes remotas en el momento de la renderización para determinar sus dimensiones. La obtención de imágenes remotas está destinada a restringirse a dominios que el desarrollador del sitio ha autorizado manualmente (utilizando las opciones `image.domains` o `image.remotePatterns`). Sin embargo, cuando se utiliza `inferSize`, no se realiza ninguna validación de dominio — la imagen se obtiene de cualquier host independientemente de las restricciones configuradas. Un atacante que puede influir en la URL de la imagen (por ejemplo, a través de contenido de CMS o datos proporcionados por el usuario) puede hacer que el servidor obtenga contenido de hosts arbitrarios. Esto permite eludir las restricciones de `image.domains` / `image.remotePatterns` para realizar peticiones del lado del servidor a hosts no autorizados. Esto incluye el riesgo de falsificación de petición del lado del servidor (SSRF) contra servicios de red internos y puntos finales de metadatos en la nube. La versión 9.5.4 corrige el problema.