实现分层实体漏洞知识库与实体级完整度监控

07-framework-security/frameworks/astro/cases/astro-cve-2024-47885.md

@@ -26,6 +26,9 @@ affected_versions:
   - "introduced=3.0.0, fixed<4.16.1"
 fixed_versions:
   - "4.16.1"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--module--astro:module:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -57,6 +60,26 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-m85
 - 影响版本: `introduced=3.0.0, fixed<4.16.1`
 - 修复版本: `4.16.1`
 
+## 对象与版本映射
+
+- Advisory Scope: `module`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--module--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-m85w-3h95-hcf9, https://nvd.nist.gov/vuln/detail/CVE-2024-47885, https://github.com/withastro/astro/commit/a4ffbfaa5cb460c12bd486fd75e36147f51d3e5e, https://github.com/withastro/astro, https://github.com/withastro/astro/blob/7814a6cad15f06931f963580176d9b38aa7819f2/packages/astro/src/transitions/router.ts#L135-L156`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2024-47885--workflow`
+- 漏洞家族: `xss`
+- 入口面: `web-ui-render-path`
+- 需要角色: `editor-or-admin`
+- 触发向量: 对 `xss` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/admin/editor, /preview, /rendered-content`
+- 输入形态: 受控 HTML/Markdown/富文本输入，观察渲染上下文是否失去编码或净化。
+- 预期不安全行为: 输入在目标上下文执行或被浏览器解释为主动内容。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2024-47885
@@ -64,6 +87,43 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-m85
 - https://github.com/withastro/astro
 - https://github.com/withastro/astro/blob/7814a6cad15f06931f963580176d9b38aa7819f2/packages/astro/src/transitions/router.ts#L135-L156
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+- 插件/扩展管理日志、安装日志与版本清单
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+- 插件目录、主题目录或扩展配置表中的测试样本
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=3.0.0, fixed<4.16.1` 升级或回移到 `4.16.1`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `xss` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2024-56140.md

@@ -26,6 +26,9 @@ affected_versions:
   - "introduced=0, fixed<4.16.17"
 fixed_versions:
   - "4.16.17"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--project--astro:project:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -56,6 +59,26 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-c4p
 - 影响版本: `introduced=0, fixed<4.16.17`
 - 修复版本: `4.16.17`
 
+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--project--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-c4pw-33h3-35xw, https://nvd.nist.gov/vuln/detail/CVE-2024-56140, https://github.com/withastro/astro/commit/e7d14c374b9d45e27089994a4eb72186d05514de, https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS#simple_requests, https://github.com/withastro/astro`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2024-56140--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2024-56140
@@ -64,6 +87,42 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-c4p
 - https://github.com/withastro/astro
 - https://github.com/withastro/astro/blob/6031962ab5f56457de986eb82bd24807e926ba1b/packages/astro/src/core/app/middlewares.ts
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=0, fixed<4.16.17` 升级或回移到 `4.16.17`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2024-56159.md

@@ -28,6 +28,9 @@ affected_versions:
 fixed_versions:
   - "5.0.8"
   - "4.16.18"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--project--astro:project:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -56,6 +59,26 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-49w
 - 影响版本: `introduced=5.0.0-alpha.0, fixed<5.0.8, introduced=0, fixed<4.16.18`
 - 修复版本: `5.0.8, 4.16.18`
 
+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--project--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-49w6-73cw-chjr, https://nvd.nist.gov/vuln/detail/CVE-2024-56159, https://github.com/withastro/astro/issues/12703, https://github.com/withastro/astro/commit/039d022b1bbaacf9ea83071d27affc5318e0e515, https://github.com/withastro/astro/commit/c879f501ff01b1a3c577de776a1f7100d78f8dd5`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2024-56159--workflow`
+- 漏洞家族: `file-upload`
+- 入口面: `upload-or-import-surface`
+- 需要角色: `authenticated-uploader`
+- 触发向量: 对 `file-upload` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/upload, /import, /plugin/install`
+- 输入形态: 提交受控非执行样本，验证扩展名、MIME、落盘与执行权限。
+- 预期不安全行为: 上传样本被错误接受、可访问或位于可执行路径。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2024-56159
@@ -66,6 +89,41 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-49w
 - https://github.com/withastro/astro
 - https://github.com/withastro/astro/blob/176fe9f113fd912f9b61e848b00bbcfecd6d5c2c/packages/astro/src/core/build/static-build.ts#L139
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=5.0.0-alpha.0, fixed<5.0.8, introduced=0, fixed<4.16.18` 升级或回移到 `5.0.8`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `file-upload` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2025-54793.md

@@ -26,6 +26,9 @@ affected_versions:
   - "introduced=5.2.0, fixed<5.12.8"
 fixed_versions:
   - "5.12.8"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--project--astro:project:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -53,12 +56,67 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-cq8
 - 影响版本: `introduced=5.2.0, fixed<5.12.8`
 - 修复版本: `5.12.8`
 
+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--project--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-cq8c-xv66-36gw, https://nvd.nist.gov/vuln/detail/CVE-2025-54793, https://github.com/withastro/astro/commit/0567fb7b50c0c452be387dd7c7264b96bedab48f, https://github.com/withastro/astro`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2025-54793--workflow`
+- 漏洞家族: `unknown`
+- 入口面: `package-surface`
+- 需要角色: `unknown`
+- 触发向量: 对 `unknown` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/package`
+- 输入形态: 提交最小化、可审计、可回滚的受控输入。
+- 预期不安全行为: 目标表现出超出设计边界的行为。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2025-54793
 - https://github.com/withastro/astro/commit/0567fb7b50c0c452be387dd7c7264b96bedab48f
 - https://github.com/withastro/astro
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=5.2.0, fixed<5.12.8` 升级或回移到 `5.12.8`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `unknown` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2025-55303.md

@@ -30,6 +30,9 @@ fixed_versions:
   - "5.13.2"
   - "9.1.1"
   - "4.16.19"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--project--astro:project:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -58,12 +61,67 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-xf8
 - 影响版本: `introduced=5.0.0-alpha.0, fixed<5.13.2, introduced=0, fixed<9.1.1, introduced=0, fixed<4.16.19`
 - 修复版本: `5.13.2, 9.1.1, 4.16.19`
 
+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--project--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-xf8x-j4p2-f749, https://nvd.nist.gov/vuln/detail/CVE-2025-55303, https://github.com/withastro/astro/commit/4d16de7f95db5d1ec1ce88610d2a95e606e83820, https://github.com/withastro/astro`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2025-55303--workflow`
+- 漏洞家族: `xss`
+- 入口面: `web-ui-render-path`
+- 需要角色: `editor-or-admin`
+- 触发向量: 对 `xss` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/admin/editor, /preview, /rendered-content`
+- 输入形态: 受控 HTML/Markdown/富文本输入，观察渲染上下文是否失去编码或净化。
+- 预期不安全行为: 输入在目标上下文执行或被浏览器解释为主动内容。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2025-55303
 - https://github.com/withastro/astro/commit/4d16de7f95db5d1ec1ce88610d2a95e606e83820
 - https://github.com/withastro/astro
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=5.0.0-alpha.0, fixed<5.13.2, introduced=0, fixed<9.1.1, introduced=0, fixed<4.16.19` 升级或回移到 `5.13.2`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `xss` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2025-59837.md

@@ -26,6 +26,9 @@ affected_versions:
   - "introduced=5.13.4, fixed<5.13.10"
 fixed_versions:
   - "5.13.10"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--project--astro:project:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -56,6 +59,26 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-qcp
 - 影响版本: `introduced=5.13.4, fixed<5.13.10`
 - 修复版本: `5.13.10`
 
+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--project--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-qcpr-679q-rhm2, https://nvd.nist.gov/vuln/detail/CVE-2025-59837, https://github.com/withastro/astro/commit/1e2499e8ea83ebfa233a18a7499e1ccf169e56f4, https://github.com/withastro/astro/commit/9ecf3598e2b29dd74614328fde3047ea90e67252, https://github.com/withastro/astro`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2025-59837--workflow`
+- 漏洞家族: `xss`
+- 入口面: `web-ui-render-path`
+- 需要角色: `editor-or-admin`
+- 触发向量: 对 `xss` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/admin/editor, /preview, /rendered-content`
+- 输入形态: 受控 HTML/Markdown/富文本输入，观察渲染上下文是否失去编码或净化。
+- 预期不安全行为: 输入在目标上下文执行或被浏览器解释为主动内容。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2025-59837
@@ -63,6 +86,41 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-qcp
 - https://github.com/withastro/astro/commit/9ecf3598e2b29dd74614328fde3047ea90e67252
 - https://github.com/withastro/astro
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=5.13.4, fixed<5.13.10` 升级或回移到 `5.13.10`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `xss` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2025-61925.md

@@ -26,6 +26,9 @@ affected_versions:
   - "introduced=0, fixed<5.14.3"
 fixed_versions:
   - "5.14.3"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--project--astro:project:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -54,6 +57,26 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-5ff
 - 影响版本: `introduced=0, fixed<5.14.3`
 - 修复版本: `5.14.3`
 
+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--project--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-5ff5-9fcw-vg88, https://nvd.nist.gov/vuln/detail/CVE-2025-61925, https://github.com/withastro/astro/commit/6ee63bfac4856f21b4d4633021b3d2ee059e553f, https://github.com/Chisnet/minimal_dynamic_astro_server, https://github.com/withastro/astro`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2025-61925--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2025-61925
@@ -61,6 +84,42 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-5ff
 - https://github.com/Chisnet/minimal_dynamic_astro_server
 - https://github.com/withastro/astro
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=0, fixed<5.14.3` 升级或回移到 `5.14.3`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2025-64525.md

@@ -26,6 +26,9 @@ affected_versions:
   - "introduced=2.16.0, fixed<5.15.5"
 fixed_versions:
   - "5.15.5"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--project--astro:project:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -58,6 +61,26 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-hr2
 - 影响版本: `introduced=2.16.0, fixed<5.15.5`
 - 修复版本: `5.15.5`
 
+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--project--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-hr2q-hp5q-x767, https://nvd.nist.gov/vuln/detail/CVE-2025-64525, https://github.com/withastro/astro/commit/dafbb1ba29912099c4faff1440033edc768af8b4, https://github.com/withastro/astro, https://github.com/withastro/astro/blob/970ac0f51172e1e6bff4440516a851e725ac3097/packages/astro/src/core/app/node.ts#L121`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2025-64525--workflow`
+- 漏洞家族: `xss`
+- 入口面: `web-ui-render-path`
+- 需要角色: `editor-or-admin`
+- 触发向量: 对 `xss` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/admin/editor, /preview, /rendered-content`
+- 输入形态: 受控 HTML/Markdown/富文本输入，观察渲染上下文是否失去编码或净化。
+- 预期不安全行为: 输入在目标上下文执行或被浏览器解释为主动内容。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2025-64525
@@ -66,6 +89,41 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-hr2
 - https://github.com/withastro/astro/blob/970ac0f51172e1e6bff4440516a851e725ac3097/packages/astro/src/core/app/node.ts#L121
 - https://github.com/withastro/astro/blob/970ac0f51172e1e6bff4440516a851e725ac3097/packages/astro/src/core/app/node.ts#L97
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=2.16.0, fixed<5.15.5` 升级或回移到 `5.15.5`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `xss` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2025-64745.md

@@ -26,6 +26,9 @@ affected_versions:
   - "introduced=5.2.0, fixed<5.15.6"
 fixed_versions:
   - "5.15.6"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--project--astro:project:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -56,6 +59,26 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-w2v
 - 影响版本: `introduced=5.2.0, fixed<5.15.6`
 - 修复版本: `5.15.6`
 
+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--project--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-w2vj-39qv-7vh7, https://nvd.nist.gov/vuln/detail/CVE-2025-64745, https://github.com/withastro/astro/pull/12994, https://github.com/withastro/astro/commit/790d9425f39bbbb462f1c27615781cd965009f91, https://github.com/withastro/astro`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2025-64745--workflow`
+- 漏洞家族: `xss`
+- 入口面: `web-ui-render-path`
+- 需要角色: `editor-or-admin`
+- 触发向量: 对 `xss` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/admin/editor, /preview, /rendered-content`
+- 输入形态: 受控 HTML/Markdown/富文本输入，观察渲染上下文是否失去编码或净化。
+- 预期不安全行为: 输入在目标上下文执行或被浏览器解释为主动内容。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2025-64745
@@ -64,6 +87,41 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-w2v
 - https://github.com/withastro/astro
 - https://github.com/withastro/astro/blob/5bc37fd5cade62f753aef66efdf40f982379029a/packages/astro/src/template/4xx.ts#L133-L149
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=5.2.0, fixed<5.15.6` 升级或回移到 `5.15.6`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `xss` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2025-64757.md

@@ -26,6 +26,9 @@ affected_versions:
   - "introduced=0, fixed<5.14.3"
 fixed_versions:
   - "5.14.3"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--project--astro:project:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -55,12 +58,67 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-x3h
 - 影响版本: `introduced=0, fixed<5.14.3`
 - 修复版本: `5.14.3`
 
+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--project--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-x3h8-62x9-952g, https://nvd.nist.gov/vuln/detail/CVE-2025-64757, https://github.com/withastro/astro/commit/b8ca69b97149becefaf89bf21853de9c905cdbb7, https://github.com/withastro/astro`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2025-64757--workflow`
+- 漏洞家族: `path-traversal`
+- 入口面: `file-read-or-download-path`
+- 需要角色: `anonymous-or-low-privileged`
+- 触发向量: 对 `path-traversal` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/download, /assets, /attachment`
+- 输入形态: 提交规范化路径片段，验证根目录限制与标准化处理。
+- 预期不安全行为: 可读取、列出或访问根目录之外资源。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2025-64757
 - https://github.com/withastro/astro/commit/b8ca69b97149becefaf89bf21853de9c905cdbb7
 - https://github.com/withastro/astro
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=0, fixed<5.14.3` 升级或回移到 `5.14.3`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `path-traversal` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2025-64764.md

@@ -26,6 +26,9 @@ affected_versions:
   - "introduced=0, fixed<5.15.8"
 fixed_versions:
   - "5.15.8"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--module--astro:module:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -56,12 +59,69 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-wrw
 - 影响版本: `introduced=0, fixed<5.15.8`
 - 修复版本: `5.15.8`
 
+## 对象与版本映射
+
+- Advisory Scope: `module`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--module--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-wrwg-2hg8-v723, https://nvd.nist.gov/vuln/detail/CVE-2025-64764, https://github.com/withastro/astro/commit/790d9425f39bbbb462f1c27615781cd965009f91, https://github.com/withastro/astro`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2025-64764--workflow`
+- 漏洞家族: `xss`
+- 入口面: `web-ui-render-path`
+- 需要角色: `editor-or-admin`
+- 触发向量: 对 `xss` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/admin/editor, /preview, /rendered-content`
+- 输入形态: 受控 HTML/Markdown/富文本输入，观察渲染上下文是否失去编码或净化。
+- 预期不安全行为: 输入在目标上下文执行或被浏览器解释为主动内容。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2025-64764
 - https://github.com/withastro/astro/commit/790d9425f39bbbb462f1c27615781cd965009f91
 - https://github.com/withastro/astro
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+- 插件/扩展管理日志、安装日志与版本清单
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+- 插件目录、主题目录或扩展配置表中的测试样本
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=0, fixed<5.15.8` 升级或回移到 `5.15.8`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `xss` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2025-64765.md

@@ -26,6 +26,9 @@ affected_versions:
   - "introduced=0, fixed<5.15.8"
 fixed_versions:
   - "5.15.8"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--project--astro:project:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -56,12 +59,67 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-ggx
 - 影响版本: `introduced=0, fixed<5.15.8`
 - 修复版本: `5.15.8`
 
+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--project--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-ggxq-hp9w-j794, https://nvd.nist.gov/vuln/detail/CVE-2025-64765, https://github.com/withastro/astro/commit/6f800813516b07bbe12c666a92937525fddb58ce, https://github.com/withastro/astro`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2025-64765--workflow`
+- 漏洞家族: `file-upload`
+- 入口面: `upload-or-import-surface`
+- 需要角色: `authenticated-uploader`
+- 触发向量: 对 `file-upload` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/upload, /import, /plugin/install`
+- 输入形态: 提交受控非执行样本，验证扩展名、MIME、落盘与执行权限。
+- 预期不安全行为: 上传样本被错误接受、可访问或位于可执行路径。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2025-64765
 - https://github.com/withastro/astro/commit/6f800813516b07bbe12c666a92937525fddb58ce
 - https://github.com/withastro/astro
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=0, fixed<5.15.8` 升级或回移到 `5.15.8`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `file-upload` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2025-65019.md

@@ -26,6 +26,9 @@ affected_versions:
   - "introduced=0, fixed<5.15.9"
 fixed_versions:
   - "5.15.9"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--project--astro:project:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -58,12 +61,67 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-fvm
 - 影响版本: `introduced=0, fixed<5.15.9`
 - 修复版本: `5.15.9`
 
+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--project--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-fvmw-cj7j-j39q, https://nvd.nist.gov/vuln/detail/CVE-2025-65019, https://github.com/withastro/astro/commit/9e9c528191b6f5e06db9daf6ad26b8f68016e533, https://github.com/withastro/astro`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2025-65019--workflow`
+- 漏洞家族: `xss`
+- 入口面: `web-ui-render-path`
+- 需要角色: `editor-or-admin`
+- 触发向量: 对 `xss` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/admin/editor, /preview, /rendered-content`
+- 输入形态: 受控 HTML/Markdown/富文本输入，观察渲染上下文是否失去编码或净化。
+- 预期不安全行为: 输入在目标上下文执行或被浏览器解释为主动内容。
+
 ## 其他来源
 
 - https://nvd.nist.gov/vuln/detail/CVE-2025-65019
 - https://github.com/withastro/astro/commit/9e9c528191b6f5e06db9daf6ad26b8f68016e533
 - https://github.com/withastro/astro
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=0, fixed<5.15.9` 升级或回移到 `5.15.9`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `xss` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。

07-framework-security/frameworks/astro/cases/astro-cve-2025-66202.md

@@ -26,6 +26,9 @@ affected_versions:
   - "introduced=0, fixed<5.15.8"
 fixed_versions:
   - "5.15.8"
+entity_refs:
+  - "astro:system:root-system"
+  - "astro--project--astro:project:affected-component"
 secure_code_topics:
   - "authz-server-side-recheck"
   - "csp-trusted-types"
@@ -54,6 +57,26 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-ggx
 - 影响版本: `introduced=0, fixed<5.15.8`
 - 修复版本: `5.15.8`
 
+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `astro`
+- Entity Refs: `astro, astro--project--astro`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/withastro/astro/security/advisories/GHSA-ggxq-hp9w-j794, https://github.com/withastro/astro/security/advisories/GHSA-whqg-ppgf-wp8c, https://nvd.nist.gov/vuln/detail/CVE-2025-64765, https://nvd.nist.gov/vuln/detail/CVE-2025-66202, https://github.com/withastro/astro/commit/6f800813516b07bbe12c666a92937525fddb58ce`
+
+## 受控验证流程
+
+- Workflow ID: `astro--CVE-2025-66202--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源
 
 - https://github.com/withastro/astro/security/advisories/GHSA-whqg-ppgf-wp8c
@@ -62,6 +85,42 @@ primary_source: "https://github.com/withastro/astro/security/advisories/GHSA-ggx
 - https://github.com/withastro/astro/commit/6f800813516b07bbe12c666a92937525fddb58ce
 - https://github.com/withastro/astro
 
+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=0, fixed<5.15.8` 升级或回移到 `5.15.8`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层
 
 - 仅用于自有资产、测试环境或已明确授权目标。