https://blog.qife122.com/tags/%E4%B8%AD%E9%97%B4%E4%BB%B6%E7%BB%95%E8%BF%87/ Recent content in 中间件绕过 on 办公AI智能小助手 Hugo zh-cn qife Wed, 26 Nov 2025 05:17:18 +0800 https://blog.qife122.com/p/astro%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E9%80%9A%E8%BF%87%E5%A4%B4%E9%83%A8url%E6%93%8D%E7%BA%B5%E7%BB%95%E8%BF%87%E4%B8%AD%E9%97%B4%E4%BB%B6%E4%BF%9D%E6%8A%A4/ Wed, 26 Nov 2025 05:17:18 +0800 https://blog.qife122.com/p/astro%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E9%80%9A%E8%BF%87%E5%A4%B4%E9%83%A8url%E6%93%8D%E7%BA%B5%E7%BB%95%E8%BF%87%E4%B8%AD%E9%97%B4%E4%BB%B6%E4%BF%9D%E6%8A%A4/ <h2 id="漏洞详情">漏洞详情</h2> <h3 id="包信息">包信息</h3> <ul> <li><strong>包管理器</strong>: npm</li> <li><strong>包名称</strong>: astro</li> <li><strong>受影响版本</strong>: &gt;= 2.16.0, &lt; 5.15.5</li> <li><strong>已修复版本</strong>: 5.15.5</li> </ul> <h3 id="漏洞概述">漏洞概述</h3> <p>在使用按需渲染的受影响Astro版本中，请求头<code>x-forwarded-proto</code>和<code>x-forwarded-port</code>在构建URL时未经安全处理就被使用。这导致多种严重后果：</p>