js · astroCrítico

Astro: Injeção de atributos HTML via spreadAttributes sem escape de chaves

A função spreadAttributes no pipeline de renderização server-side do Astro não escapa chaves de objetos ao interpolá-las em nomes de atributos HTML, permitindo

17 Jun 2026Leitura 1 minSeveridade: mexe agora

O que mudou

A função spreadAttributes no pipeline de renderização server-side do Astro não escapa chaves de objetos ao interpolá-las em nomes de atributos HTML, permitindo injeção de atributos arbitrários e XSS.

Quem isso afeta

Todas as aplicações Astro que espalham props de objetos de fontes não confiáveis (ex.: API, CMS, parâmetros de URL) em elementos HTML usando a sintaxe `{...props}`.

O que fazer hoje

Atualize o Astro para uma versão corrigida ou sanitize as chaves dos objetos antes de espalhá-las em elementos HTML.

A esteira

Coletado→ Auditado→ Redigido→ Publicado

Fonte

GitHub Advisory · astro

Astro: Injeção de atributos HTML via spreadAttributes sem escape de chaves

O que mudou

Quem isso afeta

O que fazer hoje

Mais sobre astro

Hono: Adapter Lambda@Edge sobrescreve cabeçalhos repetidos

Hono Body Limit Middleware confia em Content-Length não verificado no AWS Lambda