CVE-2026-33769

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-33769
Astro is a web framework. From version 2.10.10 to before version 5.18.1, this issue concerns Astro's remotePatterns path enforcement for remote URLs used by server-side fetchers such as the image optimization endpoint. The path matching logic for /* wildcards is unanchored, so a pathname that contains the allowed prefix later in the path can still match. As a result, an attacker can fetch paths outside the intended allowlisted prefix on an otherwise allowed host. This issue has been patched in version 5.18.1.

5.3 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 1.4

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact NONE

Availability Impact NONE

Scope UNCHANGED

References
Link Resource
https://github.com/withastro/astro/security/advisories/GHSA-g735-7g2w-hh3f Exploit Vendor Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:astro:astro:*:*:*:*:*:node.js:*:*
History

26 Mar 2026, 12:04

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown 		v2 : unknown
v3 : 5.3
CPE cpe:2.3:a:astro:astro:*:*:*:*:*:node.js:*:*
First Time Astro astro
Astro
References () https://github.com/withastro/astro/security/advisories/GHSA-g735-7g2w-hh3f - () https://github.com/withastro/astro/security/advisories/GHSA-g735-7g2w-hh3f - Exploit, Vendor Advisory

25 Mar 2026, 15:41

Type Values Removed Values Added
Summary
  • (es) Astro es un framework web. Desde la versión 2.10.10 hasta antes de la versión 5.18.1, este problema concierne la aplicación de rutas de remotePatterns de Astro para URLs remotas utilizadas por capturadores del lado del servidor, como el endpoint de optimización de imágenes. La lógica de coincidencia de rutas para comodines /* no está anclada, por lo que un nombre de ruta que contenga el prefijo permitido más adelante en la ruta aún puede coincidir. Como resultado, un atacante puede obtener rutas fuera del prefijo permitido previsto en un host que de otro modo estaría permitido. Este problema ha sido parcheado en la versión 5.18.1.

24 Mar 2026, 19:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-24 19:16

Updated : 2026-03-26 12:04

NVD link : CVE-2026-33769

Mitre link : CVE-2026-33769

CVE.ORG link : CVE-2026-33769

JSON object : View

Products Affected

astro

  • astro
CWE
CWE-20

Improper Input Validation