HIGHCVE-2025-27152CVSS 7.5

絶対URL経由での潜在的なSSRFと認証情報漏洩に対するaxiosリクエストの脆弱性

Q: CVE-2025-27152 — SSRF in Axios (Node.js)とは何ですか？

CVE-2025-27152は、Node.jsで使用されるHTTPクライアントライブラリAxiosにおけるServer-Side Request Forgery (SSRF) 脆弱性です。絶対URLを渡すと、`baseURL`設定に関わらずSSRFが発生する可能性があります。

Q: CVE-2025-27152 in Axios (Node.js)に影響を受けますか？

Node.jsアプリケーションでAxiosのバージョン1.8.2以前を使用している場合、影響を受ける可能性があります。アプリケーションのバージョンを確認し、必要に応じてアップデートしてください。

Q: CVE-2025-27152 in Axios (Node.js)を修正するにはどうすればよいですか？

Axiosをバージョン1.8.2以降にアップデートすることを推奨します。アップデートが困難な場合は、絶対URLではなく、プロトコル相対URLを使用するようにコードを修正してください。

Q: CVE-2025-27152は積極的に悪用されていますか？

現時点では、KEVに登録されておらず、公開されているPoCも確認されていませんが、SSRF脆弱性であるため、悪用される可能性は否定できません。

Q: CVE-2025-27152に関するAxiosの公式アドバイザリはどこで入手できますか？

Axiosの公式アドバイザリは、[https://github.com/axios/axios/issues/6463](https://github.com/axios/axios/issues/6463)で確認できます。

プラットフォーム

nodejs

コンポーネント

axios

修正版

1.8.3

1.8.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-27152は、Node.js環境で使用されるHTTPクライアントライブラリAxiosにおけるServer-Side Request Forgery (SSRF) 脆弱性です。絶対URLを渡すと、baseURLの設定に関わらず、指定されたURLにリクエストが送信され、機密情報漏洩や内部システムへの不正アクセスにつながる可能性があります。この脆弱性は、Axiosのバージョン1.8.2以前に影響を与えます。バージョン1.8.2へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がAxiosを使用しているアプリケーションを通じて、本来アクセスできない内部リソースにアクセスすることを可能にします。例えば、内部APIエンドポイントへのリクエストを偽装したり、クラウドメタデータサービスにアクセスして認証情報を盗み出したりする可能性があります。認証情報が漏洩した場合、攻撃者はアプリケーションの権限を乗っ取り、より広範なシステムへのアクセスを試みる可能性があります。この脆弱性は、類似のLog4Shell攻撃パターンと同様に、深刻なセキュリティリスクをもたらします。攻撃者は、内部ネットワークをスキャンし、脆弱なサービスを特定するためにこの脆弱性を悪用する可能性があります。

悪用の状況

この脆弱性は、2025年3月7日に公開されました。現時点では、KEV（Known Exploited Vulnerabilities）カタログには登録されていません。公開されているPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性であるため、悪用される可能性は否定できません。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を定期的に確認し、最新のセキュリティ情報を入手することが重要です。

リスク対象者翻訳中…

Applications built with Node.js that utilize the Axios package are at risk. This includes both server-side applications (e.g., REST APIs, backend services) and client-side applications (e.g., web applications using Axios for API calls). Specifically, applications that rely on Axios to interact with internal APIs or resources without proper URL validation are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list axios

• nodejs / server:

  find / -name "node_modules/axios" -print

• generic web: Inspect application code for instances where Axios is used with absolute URLs, particularly when interacting with internal APIs or resources.

攻撃タイムライン

2025-03-07Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

NextGuard100% まだ脆弱

EPSS

0.07% (22% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントaxios

ベンダーosv

影響範囲修正版

< 1.8.2 – < 1.8.21.8.3

1.0.01.8.2

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-02-19
公開日2025-03-07
更新日2026-02-04
EPSS 更新日2026-04-02

公開後0日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まずAxiosをバージョン1.8.2以降にアップデートすることを推奨します。アップデートが困難な場合は、絶対URLではなく、プロトコル相対URLを使用するようにコードを修正することで、SSRFのリスクを軽減できます。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、外部からの不正なリクエストをブロックすることも有効です。AxiosのbaseURL設定を適切に構成し、許可されたドメインのみへのアクセスを制限することも重要です。アップデート後、アプリケーションの動作を十分にテストし、SSRFが発生しないことを確認してください。

修正方法

axiosライブラリをバージョン1.8.2以降にアップデートしてください。 これにより、絶対URLを使用したリクエストにおけるSSRFの脆弱性と潜在的な認証情報漏洩が修正されます。 `npm install axios@latest`または`yarn add axios@latest`を実行してアップデートしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-27152 — SSRF in Axios (Node.js)とは何ですか？

CVE-2025-27152は、Node.jsで使用されるHTTPクライアントライブラリAxiosにおけるServer-Side Request Forgery (SSRF) 脆弱性です。絶対URLを渡すと、baseURL設定に関わらずSSRFが発生する可能性があります。

CVE-2025-27152 in Axios (Node.js)に影響を受けますか？