Plataforma
nodejs
Componente
axios
Corregido en
1.8.3
1.8.2
Se ha descubierto una vulnerabilidad de SSRF (Server-Side Request Forgery) en la biblioteca Axios para Node.js. Esta vulnerabilidad permite a un atacante, al proporcionar URLs absolutas en lugar de URLs relativas al protocolo, realizar solicitudes a recursos internos del servidor, potencialmente exponiendo datos confidenciales. La vulnerabilidad afecta a versiones anteriores a 1.8.2 y se recomienda actualizar a la versión corregida.
La vulnerabilidad de SSRF en Axios permite a un atacante, mediante la manipulación de URLs absolutas, realizar solicitudes a recursos internos que normalmente no serían accesibles desde el exterior. Esto puede incluir el acceso a archivos de configuración, bases de datos internas, o incluso la ejecución de comandos en el servidor, dependiendo de la configuración y permisos. Un atacante podría, por ejemplo, leer archivos sensibles en el sistema de archivos del servidor o interactuar con servicios internos sin la debida autenticación. La exposición de credenciales o datos internos podría resultar en una brecha de seguridad significativa y comprometer la confidencialidad, integridad y disponibilidad de los sistemas afectados. La vulnerabilidad se agrava por su potencial de ser explotada tanto en aplicaciones del lado del servidor como del cliente.
Esta vulnerabilidad fue descubierta y reportada públicamente el 7 de marzo de 2025. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de esta redacción. La probabilidad de explotación se considera media, dado que Axios es una biblioteca ampliamente utilizada y la vulnerabilidad es relativamente fácil de explotar si no se implementan medidas de mitigación. Se recomienda monitorear activamente los sistemas para detectar posibles intentos de explotación.
Applications built with Node.js that utilize the Axios package are at risk. This includes both server-side applications (e.g., REST APIs, backend services) and client-side applications (e.g., web applications using Axios for API calls). Specifically, applications that rely on Axios to interact with internal APIs or resources without proper URL validation are particularly vulnerable.
• nodejs / server:
npm list axios• nodejs / server:
find / -name "node_modules/axios" -print• generic web: Inspect application code for instances where Axios is used with absolute URLs, particularly when interacting with internal APIs or resources.
disclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar Axios a la versión 1.8.2 o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de las URLs proporcionadas por el usuario antes de pasarlas a Axios. Esto puede incluir el uso de una lista blanca de dominios permitidos o la validación del formato de la URL para asegurar que sea relativa al protocolo. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten acceder a recursos internos. La verificación después de la actualización debe incluir la ejecución de pruebas de seguridad para confirmar que la vulnerabilidad ha sido efectivamente mitigada.
Actualice la biblioteca axios a la versión 1.8.2 o superior. Esto solucionará la vulnerabilidad SSRF y la posible fuga de credenciales al usar URLs absolutas en las peticiones. Ejecute `npm install axios@latest` o `yarn add axios@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-27152 es una vulnerabilidad de SSRF en la biblioteca Axios para Node.js que permite a atacantes realizar solicitudes a recursos internos del servidor al proporcionar URLs absolutas.
Si está utilizando una versión de Axios anterior a 1.8.2 y su aplicación acepta URLs proporcionadas por el usuario sin validación, es probable que esté afectado.
Actualice Axios a la versión 1.8.2 o superior. Si no es posible, implemente una validación estricta de las URLs proporcionadas por el usuario.
Aunque no se ha confirmado explotación activa, la vulnerabilidad es relativamente fácil de explotar y Axios es ampliamente utilizado, por lo que se recomienda monitorear activamente los sistemas.
Consulte el repositorio de Axios en GitHub: https://github.com/axios/axios
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.