Banco de Dados de VulnerabilidadesCVE-2025-64765

CVE-2025-64765:
JavaScript Análise e mitigação de vulnerabilidades

Visão geral

CVE-2025-64765 is a moderate severity vulnerability affecting Astro npm package versions below 5.15.8. The vulnerability was discovered and disclosed in November 2025, affecting the middleware authentication mechanism in Astro applications. The issue stems from a path normalization mismatch between how Astro internally processes request paths for routing/rendering and how the application's middleware validates these paths (GitHub Advisory).

Detalhes técnicos

The vulnerability exists due to a discrepancy in URL path handling where Astro internally applies decodeURI() to determine routes for rendering, while the middleware uses context.url.pathname without the same normalization. This creates a path normalization mismatch where encoded paths (e.g., /%61dmin) are properly decoded for routing but remain encoded during middleware validation checks (GitHub Advisory).

Impacto

This vulnerability could allow attackers to bypass authentication checks and access protected routes by using URL-encoded path variants. For example, an attacker could access a protected /admin route by using encoded variants like /%61dmin, effectively bypassing any middleware-based security controls (GitHub Advisory).

Mitigação e soluções alternativas

The vulnerability has been patched in Astro version 5.15.8. Users should upgrade to this version or later to receive the fix. The patch ensures middleware context receives the same normalized pathname value that Astro uses internally, preventing path normalization bypass attempts (GitHub Advisory).

Recursos adicionais

GitHub Advisory

Origem: Este relatório foi gerado usando IA

Visualizar instâncias vulneráveis

Não é cliente Wiz? Veja quais CVEs podem ser explorados em seu ambiente.

Obtenha uma avaliação CVE

6.9

Pontuação

Publicado November 19, 2025

Gravidade MEDIUM

Pontuação CNA 6.9

Tecnologias afetadas

JavaScript

Tem exploração pública Não

Tem Exploit CISA KEV Não

Data de Lançamento do CISA KEV N/A

Data de Vencimento do CISA KEV N/A

Percentual de Probabilidade de Exploração (EPSS) N/A

Probabilidade de Exploração (EPSS) N/A

Pacotes e bibliotecas afetados

astro

Fontes

NVD
GitHub Advisory Database
- npm Gravidade MEDIUMTem correçãoAdicionado em:Nov 20, 2025

Obtenha uma avaliação de risco CVE

Obtenha uma visão priorizada das CVEs em sua nuvem—para que você possa focar no que é explorável, não apenas no que está listado.

Solicitar avaliação

Relacionado JavaScript Vulnerabilidades:

CVE ID	Gravidade	Pontuação	Tecnologias	Nome do componente	Exploração do CISA KEV	Tem correção	Data de publicação
CVE-2025-65099	HIGH	7.7	JavaScript	@anthropic-ai/claude-code	Não	Sim	Nov 19, 2025
CVE-2025-64764	HIGH	7.1	JavaScript	astro	Não	Sim	Nov 19, 2025
CVE-2025-64765	MEDIUM	6.9	JavaScript	astro	Não	Sim	Nov 19, 2025
CVE-2025-65019	MEDIUM	5.4	JavaScript	astro	Não	Sim	Nov 19, 2025
CVE-2025-64757	LOW	3.5	JavaScript	astro	Não	Sim	Nov 19, 2025

Avaliação de vulnerabilidade gratuita

Compare sua postura de segurança na nuvem

Avalie suas práticas de segurança na nuvem em 9 domínios de segurança para comparar seu nível de risco e identificar lacunas em suas defesas.

Solicitar avaliação

Recursos adicionais da Wiz

PEACH

Uma estrutura de isolamento de inquilino

Marque uma demonstração personalizada

Pronto para ver a Wiz em ação?

"A melhor experiência do usuário que eu já vi, fornece visibilidade total para cargas de trabalho na nuvem."

David EstlickCISO

"A Wiz fornece um único painel de vidro para ver o que está acontecendo em nossos ambientes de nuvem."

Adão FletcherDiretor de Segurança

"Sabemos que se a Wiz identifica algo como crítico, na verdade é."

Greg PoniatowskiChefe de Gerenciamento de Ameaças e Vulnerabilidades

Ver demonstração

CVE-2025-64765: JavaScript Análise e mitigação de vulnerabilidades