製品・ソフトウェアに関する情報

JVN脆弱性詳細

Astroにおける複数の脆弱性

Title	Astroにおける複数の脆弱性
Summary	Astroはウェブフレームワークです。Astroの6.1.10以前のバージョンでは、サーバーアイランドのpropsおよびslotsパラメーターの機密性と整合性を保護するためにAES-GCM暗号化を使用していましたが、暗号文を意図されたコンポーネントやパラメータータイプに紐付けていませんでした。攻撃者は、あるコンポーネントの暗号化されたprops（p）の値を別のコンポーネントのslots（s）の値として再生する、またはその逆を行うことが可能でした。slotsには生のエスケープされていないHTMLが含まれ、propsにはユーザー制御の値が含まれる可能性があるため、これはアプリケーションにおけるXSS（クロスサイトスクリプティング）につながる可能性があります。この脆弱性は、アプリケーションがサーバーアイランドを使用し、2つの異なるサーバーアイランドコンポーネントがpropとslotで同じキー名を共有し、攻撃者が重複するpropの値を完全に制御できる場合（動的にレンダリングされるページが必要な場合）に発生します。この脆弱性は6.1.10で修正されました。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 13, 2026, midnight
Registration Date	May 18, 2026, 12:10 p.m.
Last Update	May 18, 2026, 12:10 p.m.

CVSS3.0 : 警告
Score	6.1
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Affected System

Astro

Astro 6.1.10 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-45028	https://www.cve.org/CVERecord?id=CVE-2026-45028
National Vulnerability Database (NVD)
2	CVE-2026-45028	https://nvd.nist.gov/vuln/detail/CVE-2026-45028

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-323	https://cwe.mitre.org/data/definitions/323.html
2	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
GitHub
1	Server island encrypted parameters vulnerable to cross-component replay Advisory withastro/astro GitHub	https://github.com/withastro/astro/security/advisories/GHSA-xr5h-phrj-8vxv

その他

No	Name	URL
関連文書
1	Add AEAD context binding to server island encryption (#16457) withastro/astro@3d82220 GitHub	https://github.com/withastro/astro/commit/3d82220a1549e699e34ed433f3846a919f4c02bd
2	Add AEAD context binding to server island encryption by matthewp Pull Request #16457 withastro/astro GitHub	https://github.com/withastro/astro/pull/16457

Change Log

No	Changed Details	Date of change
1	[2026年05月18日] 掲載	May 18, 2026, 12:10 p.m.

NVD Vulnerability Information

CVE-2026-45028

Summary	Astro is a web framework. Astro versions prior to 6.1.10 used AES-GCM encryption to protect the confidentiality and integrity of server island props and slots parameters, but did not bind the ciphertext to its intended component or parameter type. An attacker could replay one component's encrypted props (p) value as another component's slots (s) value, or vice versa. Since slots contain raw unescaped HTML while props may contain user-controlled values, this could lead to XSS in applications. This occurs when the application uses server islands, two different server island components share the same key name for a prop and a slot, and an attacker has full control over the value of the overlapping prop (requires a dynamically rendered page). This vulnerability is fixed in 6.1.10.
Publication Date	May 14, 2026, 1:17 a.m.
Registration Date	May 15, 2026, 4:21 a.m.
Last Update	May 14, 2026, 10:28 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:astro:astro::::::node.js::*					6.1.10

Related information, measures and tools

No	URL	refsource
1	https://github.com/withastro/astro/commit/3d82220a1549e699e34ed433f3846a919f4c02bd	security-advisories@github.com
2	https://github.com/withastro/astro/pull/16457	security-advisories@github.com
3	https://github.com/withastro/astro/security/advisories/GHSA-xr5h-phrj-8vxv	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html
2	CWE-323	暗号化処理のナンスおよび鍵ペアの再利用	https://cwe.mitre.org/data/definitions/323.html