Banco de Dados de VulnerabilidadesCVE-2025-64764

CVE-2025-64764:
JavaScript Análise e mitigação de vulnerabilidades

Visão geral

A high severity vulnerability (CVE-2025-64764) was discovered in Astro's server islands feature, affecting versions <= 5.15.6. The vulnerability allows for reflected XSS attacks through the server islands feature, regardless of component template intentions. The issue was patched in version 5.15.8 and was published on November 19, 2025 (GitHub Advisory).

Detalhes técnicos

The vulnerability exists in the server islands feature which runs in an isolated context outside of the page request using the path pattern '/_server-islands/[name]'. The issue stems from the ability to inject slots containing XSS payloads by manipulating the 'e' parameter with a value of 'file', which returns the absolute path of the island file. This path is then used as a tag name, allowing for code injection regardless of the component template's intended functionality. The vulnerability has a CVSS score of 7.1 (High) with a vector string of CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N (GitHub Advisory).

Impacto

The vulnerability allows attackers to execute arbitrary JavaScript code in the context of the victim's browser through reflected XSS attacks. This can lead to theft of sensitive information, session hijacking, and other client-side attacks. The CVSS metrics indicate low impact on confidentiality but high impact on integrity, with no impact on availability (GitHub Advisory).

Mitigação e soluções alternativas

Users should upgrade to Astro version 5.15.8 or later which contains the patch for this vulnerability (GitHub Advisory).

Recursos adicionais

GitHub Advisory

Origem: Este relatório foi gerado usando IA

Visualizar instâncias vulneráveis

Não é cliente Wiz? Veja quais CVEs podem ser explorados em seu ambiente.

Obtenha uma avaliação CVE

7.1

Pontuação

Publicado November 19, 2025

Gravidade HIGH

Pontuação CNA 7.1

Tecnologias afetadas

JavaScript

Tem exploração pública Não

Tem Exploit CISA KEV Não

Data de Lançamento do CISA KEV N/A

Data de Vencimento do CISA KEV N/A

Percentual de Probabilidade de Exploração (EPSS) N/A

Probabilidade de Exploração (EPSS) N/A

Pacotes e bibliotecas afetados

astro

Fontes

NVD
GitHub Advisory Database
- npm Gravidade HIGHTem correçãoAdicionado em:Nov 20, 2025

Obtenha uma avaliação de risco CVE

Obtenha uma visão priorizada das CVEs em sua nuvem—para que você possa focar no que é explorável, não apenas no que está listado.

Solicitar avaliação

Relacionado JavaScript Vulnerabilidades:

CVE ID	Gravidade	Pontuação	Tecnologias	Nome do componente	Exploração do CISA KEV	Tem correção	Data de publicação
CVE-2025-65099	HIGH	7.7	JavaScript	@anthropic-ai/claude-code	Não	Sim	Nov 19, 2025
CVE-2025-64764	HIGH	7.1	JavaScript	astro	Não	Sim	Nov 19, 2025
CVE-2025-64765	MEDIUM	6.9	JavaScript	astro	Não	Sim	Nov 19, 2025
CVE-2025-65019	MEDIUM	5.4	JavaScript	astro	Não	Sim	Nov 19, 2025
CVE-2025-64757	LOW	3.5	JavaScript	astro	Não	Sim	Nov 19, 2025

Avaliação de vulnerabilidade gratuita

Compare sua postura de segurança na nuvem

Avalie suas práticas de segurança na nuvem em 9 domínios de segurança para comparar seu nível de risco e identificar lacunas em suas defesas.

Solicitar avaliação

Recursos adicionais da Wiz

PEACH

Uma estrutura de isolamento de inquilino

Marque uma demonstração personalizada

Pronto para ver a Wiz em ação?

"A melhor experiência do usuário que eu já vi, fornece visibilidade total para cargas de trabalho na nuvem."

David EstlickCISO

"A Wiz fornece um único painel de vidro para ver o que está acontecendo em nossos ambientes de nuvem."

Adão FletcherDiretor de Segurança

"Sabemos que se a Wiz identifica algo como crítico, na verdade é."

Greg PoniatowskiChefe de Gerenciamento de Ameaças e Vulnerabilidades

Ver demonstração

CVE-2025-64764: JavaScript Análise e mitigação de vulnerabilidades