CVE-2026-27729

Astro is a web framework. In versions 9.0.0 through 9.5.3, Astro server actions have no default request body size limit, which can lead to memory exhaustion DoS. A single large POST to a valid action endpoint can crash the server process on memory-constrained deployments. On-demand rendered sites built with Astro can define server actions, which automatically parse incoming request bodies (JSON or FormData). The body is buffered entirely into memory with no size limit — a single oversized request is sufficient to exhaust the process heap and crash the server. Astro's Node adapter (`mode: 'standalone'`) creates an HTTP server with no body size protection. In containerized environments, the crashed process is automatically restarted, and repeated requests cause a persistent crash-restart loop. Action names are discoverable from HTML form attributes on any public page, so no authentication is required. The vulnerability allows unauthenticated denial of service against SSR standalone deployments using server actions. A single oversized request crashes the server process, and repeated requests cause a persistent crash-restart loop in containerized environments. Version 9.5.4 contains a fix.

CVSS v3 5.9 MEDIUM

5.9^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.2 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/withastro/astro/commit/522f880b07a4ea7d69a19b5507fb53a5ed6c87f8	Patch
https://github.com/withastro/astro/pull/15564	Issue Tracking
https://github.com/withastro/astro/releases/tag/%40astrojs%2Fnode%409.5.4	Product Release Notes
https://github.com/withastro/astro/security/advisories/GHSA-jm64-8m5q-4qh8	Exploit Third Party Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:astro:\@astrojs\/node:*:*:*:*:*:node.js:*:*

History

25 Feb 2026, 15:19

Type	Values Removed	Values Added
Summary		(es) Astro es un framework web. En las versiones 9.0.0 a 9.5.3, las acciones del servidor de Astro no tienen un límite de tamaño de cuerpo de solicitud predeterminado, lo que puede llevar a una DoS por agotamiento de memoria. Una única solicitud POST grande a un endpoint de acción válido puede colapsar el proceso del servidor en despliegues con restricciones de memoria. Los sitios renderizados bajo demanda construidos con Astro pueden definir acciones de servidor, que analizan automáticamente los cuerpos de las solicitudes entrantes (JSON o FormData). El cuerpo se almacena completamente en la memoria sin límite de tamaño — una única solicitud sobredimensionada es suficiente para agotar el heap del proceso y colapsar el servidor. El adaptador de Node de Astro ('mode: 'standalone'') crea un servidor HTTP sin protección de tamaño de cuerpo. En entornos contenerizados, el proceso colapsado se reinicia automáticamente, y las solicitudes repetidas causan un bucle persistente de colapso-reinicio. Los nombres de las acciones son detectables a partir de los atributos de los formularios HTML en cualquier página pública, por lo que no se requiere autenticación. La vulnerabilidad permite la denegación de servicio no autenticada contra despliegues SSR standalone que utilizan acciones de servidor. Una única solicitud sobredimensionada colapsa el proceso del servidor, y las solicitudes repetidas causan un bucle persistente de colapso-reinicio en entornos contenerizados. La versión 9.5.4 contiene una solución.
First Time		Astro \@astrojs\/node Astro
CPE		cpe:2.3:a:astro:\@astrojs\/node::::::node.js::*
References	~~() https://github.com/withastro/astro/commit/522f880b07a4ea7d69a19b5507fb53a5ed6c87f8 -~~	() https://github.com/withastro/astro/commit/522f880b07a4ea7d69a19b5507fb53a5ed6c87f8 - Patch
References	~~() https://github.com/withastro/astro/pull/15564 -~~	() https://github.com/withastro/astro/pull/15564 - Issue Tracking
References	~~() https://github.com/withastro/astro/releases/tag/%40astrojs%2Fnode%409.5.4 -~~	() https://github.com/withastro/astro/releases/tag/%40astrojs%2Fnode%409.5.4 - Product, Release Notes
References	~~() https://github.com/withastro/astro/security/advisories/GHSA-jm64-8m5q-4qh8 -~~	() https://github.com/withastro/astro/security/advisories/GHSA-jm64-8m5q-4qh8 - Exploit, Third Party Advisory

24 Feb 2026, 01:16

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-02-24 01:16

Updated : 2026-02-25 15:19

NVD link : CVE-2026-27729

Mitre link : CVE-2026-27729

CVE.ORG link : CVE-2026-27729

JSON object : View

Products Affected

astro

\@astrojs\/node

CWE

CWE-770

Allocation of Resources Without Limits or Throttling

5.9 /10