つみかさね

CVE-2026-54299

High(7.5)

CVE-2026-54299 — Astro: Hostヘッダ SSRF(プリレンダーエラーページ)

公開日: 2026-06-18データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
astrowithastro< 6.4.6

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Astro のバージョンを確認し、v6.4.6 未満であれば影響を受ける可能性がある
  2. 2SSR 構成でプリレンダーエラーページを使用しているか確認する
  3. 3v6.4.6 以降へアップデートする

影響対象

Astro SSRアプリ利用者

補足

  • -SSR 構成ではない静的サイト生成(SSG)の場合は影響を受けません。

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

A
Astro のリリース情報 →
CVEAstroSSRFHostHeaderSSRnpm

概要

Astro の SSR(Server-Side Rendering)アプリにおいて、プリレンダーされたエラーページ(/404/500)の取得処理に Server-Side Request Forgery(SSRF)の脆弱性が存在します。

エラーが発生した際、Astro は SSR エラーページを取得するための HTTP フェッチを行いますが、このとき使用する URL のオリジンが受信リクエストの Host ヘッダから生成されます。Host ヘッダが allowedDomains に対して検証されていないため、攻撃者は Host ヘッダに任意のホストを設定して、サーバーに内部リソースや外部の任意ホストへのリクエストを発行させることができます。

CVSSベクトル

項目
攻撃経路(AV)Network
攻撃複雑度(AC)High
必要権限(PR)None
ユーザー関与(UI)None
スコープ(S)Changed
機密性(C)High
完全性(I)Low
可用性(A)None
CVSS スコア7.5

影響を受けるソフトウェア

製品ベンダー影響バージョン
astrowithastrov6.4.6 未満

影響条件:

  • SSR デプロイメント(output: 'server' または hybrid)
  • /404/500 ページが export const prerender = true でプリレンダーされている
  • allowedDomains が適切に設定されていない

修正バージョンと回避策

修正バージョン: Astro v6.4.6 以降

推奨対応:

  1. Astro を v6.4.6 以降へアップデートする
  2. SSR アプリで allowedDomains を明示的に設定する
  3. エラーページをプリレンダーしている構成かどうかを確認する

関連リンク

データソース: OSV (Google), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-50146Astro スロット名エスケープ漏れによるリフレクテッドXSSCVSS 7.1CVE-2026-54298Astro スプレッドプロップ属性名XSSCVSS 4.6

参考リンク

GHSA:https://github.com/withastro/astro/security/advisories/GHSA-2pvr-wf23-7pc7
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。