フロントエンドフレームワークAstroのCloudflare Adapterで危険度の高い脆弱性(CVE-2025-58179)

セキュリティニュース

投稿日時: 更新日時:

フロントエンドフレームワークAstroのCloudflare Adapterで危険度の高い脆弱性(CVE-2025-58179)

AstroのCloudflare向けアダプタ(@astrojs/cloudflare)に、SSRF(Server-Side Request Forgery)につながる危険度の

高い脆弱性(CVE-2025-58179)  CVSS 7.2 相当が見つかりました。対象はv11.0.3以上で、v12.6.6以降で修正されています。

対象バージョン

@astrojs/cloudflare 11.0.3〜12.6.5 が影響を受けます(output: 'server' かつ既定の imageService: 'compile' 構成で発生します)。

対処バージョン

@astrojs/cloudflare12.6.6 以降で修正済みです。速やかに該当バージョン以上へ更新してください。

問題点

Astroのオンデマンド画像最適化は通常、ローカル画像と、image.domainsimage.remotePatterns明示許可した外部画像のみを処理します。本件の脆弱版アダプタでは、Cloudflare実行環境で生成される/_imagehrefクエリの参照先検証をすり抜け、

結果として任意URLへのサーバ側リクエスト→そのレスポンスを自オリジンから配信できてしまいます。攻撃者は、見た目が正規サイト配下のURLを作り、内部ネットやメタデータサービス向けのリクエストを発火させたり、HTML等の不正コンテンツをオリジン経由で配信させたりできます。

想定される悪用シナリオ

  • SSRF/_image?href=http://169.254.169.254/...のようなメタデータ・内部管理系への到達試行(Cloudflare環境の制約により一部は不達でも、攻撃面は残ります)。

  • XSS/コンテンツ注入text/htmlやスクリプトを返す外部URLを指定し、自ドメイン配下から配信させることで、ユーザーの信頼境界を突破。

  • キャッシュ汚染:CDNやブラウザが/_image応答をキャッシュした場合、改修後も一定時間、悪性コンテンツが配信される恐れ。