Plateforme
nodejs
Composant
axios
Corrigé dans
1.8.3
1.8.2
La vulnérabilité CVE-2025-27152 est une faille de type SSRF (Server-Side Request Forgery) découverte dans la bibliothèque Axios, un client HTTP populaire pour Node.js. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des destinations non intentionnelles, potentiellement exposant des données sensibles ou permettant un accès non autorisé. Elle affecte les versions d'Axios antérieures à 1.8.2 et peut être corrigée en mettant à jour la bibliothèque.
L'exploitation réussie de cette vulnérabilité SSRF peut avoir des conséquences significatives. Un attaquant peut utiliser Axios pour effectuer des requêtes vers des services internes non exposés publiquement, contournant ainsi les contrôles d'accès. Cela peut permettre l'accès à des données confidentielles stockées sur le serveur, telles que des informations d'identification, des clés API ou des données de configuration. De plus, un attaquant pourrait utiliser cette faille pour effectuer des attaques par déni de service (DoS) en surchargeant le serveur avec des requêtes malveillantes. La vulnérabilité est particulièrement préoccupante car elle peut être exploitée à la fois côté serveur et côté client, augmentant ainsi la surface d'attaque.
Cette vulnérabilité a été rendue publique le 7 mars 2025. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. Des preuves de concept (PoC) peuvent être disponibles publiquement, ce qui pourrait faciliter l'exploitation par des acteurs malveillants. La sévérité est classée comme élevée (CVSS 7.5).
Applications built with Node.js that utilize the Axios package are at risk. This includes both server-side applications (e.g., REST APIs, backend services) and client-side applications (e.g., web applications using Axios for API calls). Specifically, applications that rely on Axios to interact with internal APIs or resources without proper URL validation are particularly vulnerable.
• nodejs / server:
npm list axios• nodejs / server:
find / -name "node_modules/axios" -print• generic web: Inspect application code for instances where Axios is used with absolute URLs, particularly when interacting with internal APIs or resources.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 22%)
CISA SSVC
La mitigation principale pour CVE-2025-27152 est de mettre à jour la bibliothèque Axios vers la version 1.8.2 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à utiliser des URLs relatives plutôt que des URLs absolues dans les requêtes Axios. Cela empêchera Axios d'envoyer les requêtes vers les URLs spécifiées et limitera ainsi le risque de SSRF. Il est également recommandé de mettre en place des contrôles de validation des entrées pour s'assurer que les URLs utilisées dans les requêtes Axios sont valides et sécurisées. Après la mise à jour, vérifiez la configuration d'Axios pour vous assurer que les URLs relatives sont utilisées et que les URLs absolues sont correctement validées.
Mettez à jour la bibliothèque axios à la version 1.8.2 ou supérieure. Cela résoudra la vulnérabilité SSRF et la possible fuite d'identifiants lors de l'utilisation d'URLs absolues dans les requêtes. Exécutez `npm install axios@latest` ou `yarn add axios@latest` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-27152 est une vulnérabilité SSRF (Server-Side Request Forgery) dans la bibliothèque Axios pour Node.js, permettant à un attaquant de forcer le serveur à effectuer des requêtes non autorisées.
Si vous utilisez une version d'Axios antérieure à 1.8.2, vous êtes potentiellement affecté par cette vulnérabilité.
La solution recommandée est de mettre à jour Axios vers la version 1.8.2 ou supérieure. En attendant, utilisez des URLs relatives plutôt que des URLs absolues.
À l'heure actuelle, il n'y a pas d'indication d'une exploitation active à grande échelle, mais des PoC pourraient être disponibles.
Consultez le dépôt GitHub d'Axios pour les détails et les mises à jour : https://github.com/axios/axios
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.