AstroのCloudflare向けアダプタ(@astrojs/cloudflare)に、SSRF(Server-Side Request Forgery)につながる危険度の
高い脆弱性(CVE-2025-58179) CVSS 7.2 相当が見つかりました。対象はv11.0.3以上で、v12.6.6以降で修正されています。
対象バージョン
@astrojs/cloudflare 11.0.3〜12.6.5 が影響を受けます(output: 'server' かつ既定の imageService: 'compile' 構成で発生します)。
対処バージョン
@astrojs/cloudflare は 12.6.6 以降で修正済みです。速やかに該当バージョン以上へ更新してください。
問題点
Astroのオンデマンド画像最適化は通常、ローカル画像と、image.domainsやimage.remotePatternsで明示許可した外部画像のみを処理します。本件の脆弱版アダプタでは、Cloudflare実行環境で生成される/_imageがhrefクエリの参照先検証をすり抜け、
結果として任意URLへのサーバ側リクエスト→そのレスポンスを自オリジンから配信できてしまいます。攻撃者は、見た目が正規サイト配下のURLを作り、内部ネットやメタデータサービス向けのリクエストを発火させたり、HTML等の不正コンテンツをオリジン経由で配信させたりできます。
想定される悪用シナリオ
-
SSRF:
/_image?href=http://169.254.169.254/...のようなメタデータ・内部管理系への到達試行(Cloudflare環境の制約により一部は不達でも、攻撃面は残ります)。 -
XSS/コンテンツ注入:
text/htmlやスクリプトを返す外部URLを指定し、自ドメイン配下から配信させることで、ユーザーの信頼境界を突破。 -
キャッシュ汚染:CDNやブラウザが
/_image応答をキャッシュした場合、改修後も一定時間、悪性コンテンツが配信される恐れ。








