axios अनुरोध संभावित SSRF और क्रेडेंशियल लीक के प्रति संवेदनशील हैं पूर्ण URL के माध्यम से

यह SSRF भेद्यता हमलावरों को Axios के माध्यम से आंतरिक संसाधनों तक पहुंचने की अनुमति देती है, भले ही baseURL सेट हो। हमलावर आंतरिक API एंडपॉइंट्स, संवेदनशील डेटा या अन्य आंतरिक सेवाओं तक पहुंच सकते हैं। यह भेद्यता डेटा लीक, अनधिकृत पहुंच और संभावित रूप से सिस्टम समझौता करने का कारण बन सकती है। चूंकि Axios का उपयोग व्यापक रूप से Node.js अनुप्रयोगों में किया जाता है, इसलिए इस भेद्यता का प्रभाव काफी व्यापक हो सकता है। यह भेद्यता Axios/axios#6463 में पहले से रिपोर्ट की गई एक समान समस्या से संबंधित है, जो प्रोटोकॉल-सापेक्ष URL के उपयोग से उत्पन्न होती है।

Applications built with Node.js that utilize the Axios package are at risk. This includes both server-side applications (e.g., REST APIs, backend services) and client-side applications (e.g., web applications using Axios for API calls). Specifically, applications that rely on Axios to interact with internal APIs or resources without proper URL validation are particularly vulnerable.

• nodejs / server:

  npm list axios

• nodejs / server:

  find / -name "node_modules/axios" -print

• generic web: Inspect application code for instances where Axios is used with absolute URLs, particularly when interacting with internal APIs or resources.

1. 2025-03-07Disclosure

   disclosure

1. आरक्षित2025-02-19
2. प्रकाशित2025-03-07
3. संशोधित2026-02-04
4. EPSS अद्यतन2026-04-02

इस भेद्यता को कम करने के लिए, Axios को संस्करण 1.8.2 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, सुनिश्चित करें कि Axios के साथ उपयोग किए जाने वाले सभी URL पूर्ण URL हैं और प्रोटोकॉल-सापेक्ष URL का उपयोग नहीं करते हैं। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके आंतरिक संसाधनों तक पहुंच को सीमित करने पर भी विचार करें। Axios के उपयोग की निगरानी करें और असामान्य अनुरोधों के लिए अलर्ट सेट करें।