漏洞关键信息 漏洞类型: 存储型跨站脚本 (Stored Cross-Site Scripting) 受影响的版本: < 5.15.9 修复版本: 5.15.9 严重程度: 中等 (Moderate, 5.4/10) CVE ID: CVE-2025-65019 概述 当使用 适配器,并配置为 时, 端点中的 函数无条件允许 协议 URL,导致恶意 SVG 载荷可以绕过域限制和内容安全策略保护,从而实施跨站脚本攻击。 漏洞代码 PoC 1. 创建新的最小 Astro 项目 (astro@latest) 2. 配置使用 Cloudflare 适配器 (@astrojs/cloudflare@12.6.10) 3. 部署到 Cloudflare Pages 或 Workers 4. 编写页面加载类似 SVG XSS 载荷的 SVG 图像 5. 直接打开 SVG 文件以显示警报 影响 1. 存储的 XSS: 恶意 URL 可以在受害者浏览器中执行 JavaScript 代码。 2. 会话劫持: JavaScript 可以访问 cookie 和会话令牌。 3. 账户接管: 结合 CSRF,执行未授权操作。 4. 数据泄露: 敏感信息被盗并发送到攻击者控制的服务器。