Astro项目披露了其Cloudflare适配器中存在一个高危漏洞，编号为CVE-2025-58179（CVSS评分7.2）。该漏洞影响使用默认图像服务部署在Cloudflare Pages或Workers上的Astro构建网站。成功利用此漏洞可能导致服务器端请求伪造（SSRF），并可能引发跨站脚本攻击（XSS）。

Astro包含一个/_image端点，用于按需生成优化版本的图像。通常，此端点将处理范围限制为：

1. 与网站捆绑的本地图像。
2. 开发者通过image.domains 或image.remotePatterns 明确允许的远程图像。

然而，正如安全公告所解释的，“在受影响版本的@astrojs/cloudflare适配器中存在一个缺陷，当部署在Cloudflare基础设施上时，攻击者可利用该缺陷绕过第三方域名限制，并从易受攻击的源服务器提供任意内容。”

实际上，攻击者可诱使易受攻击的服务获取并提供未授权内容。

研究人员通过创建一个配置了易受攻击Cloudflare适配器（@astrojs/cloudflare@12.6.5）的最小化Astro项目（astro@5.13.3）演示了该漏洞。部署后，附加构造的请求即可从未授权域名加载内容。

https://<victim-site>/_image?href=https://placehold.co/600x400

安全公告证实：“这将从未经授权的placehold.co 域名加载占位符图像。”

该漏洞具有严重影响：

1. SSRF：攻击者可滥用此缺陷迫使服务器向内部服务发起请求。
2. XSS：若受害者点击恶意构造的URL，未授权内容可能通过网站源域传递，绕过信任边界。
3. 内容注入：攻击者可在受影响网站上创建看似合法但实际传递恶意数据的URL。

安全公告指出：“这包括服务器端请求伪造（SSRF）风险，进而可能在用户点击恶意构造URL时引发跨站脚本攻击（XSS）。”

开发者被强烈建议升级至@astrojs/cloudflare v12.6.6或更高版本。