关键信息 漏洞名称 Reflected XSS in Astro development server error page 漏洞编号 GHSA-w2vj-39qv-7vh7, CVE-2025-64745 影响版本 Affected versions >= 5.2.0 修复版本 Patched versions >= 5.15.6 漏洞描述 当使用 配置选项时,Astro 的开发服务器错误页面存在反射型跨站脚本(XSS)漏洞。攻击者可以通过创建恶意 URL 注入任意 JavaScript 代码,该代码将在受害者的浏览器上下文中执行。 漏洞位置 根因 漏洞是在提交 (PR #12994)中引入的,作为用于“按需渲染页面时重定向尾斜杠”功能的一部分。该功能在开发模式下添加了一个有用的 404 错误页面,以提醒开发者尾斜杠不匹配的情况。 攻击向量 当开发者配置了 为 或 并访问带有不匹配尾斜杠的 URL 时,开发服务器会返回包含漏洞模板的 404 页面。攻击者可以构造带有 JavaScript 有效载荷的 URL,在页面呈现时执行。 影响 此漏洞仅影响开发服务器。风险取决于开发服务器的暴露方式和位置。 安全影响 开发者环境妥协:访问构造的 URL 可以在开发者的浏览器中运行任意 JS。 会话劫持:如果服务在浏览器中打开,可以窃取活动的开发者会话。 本地资源访问:JS 可以根据浏览器策略探测 端点或开发工具。 供应链风险:开启公共开发服务器的恶意软件包或 CI 可以扩大暴露范围。 攻击场景 社交工程:发送给开发者的恶意链接在打开时触发 XSS。 恶意文档:嵌入在问题、PR、聊天或文档中的攻击 URL。 依赖/CI 滥用:启动公共开发服务器的软件包或自动化暴露了许多目标。