Platform
nodejs
Component
axios
Opgelost in
1.8.3
1.8.2
CVE-2025-27152 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in het Axios Node.js package. Deze kwetsbaarheid ontstaat doordat Axios absolute URL's niet valideert, waardoor een aanvaller interne systemen kan benaderen of credentials kan lekken. De kwetsbaarheid treft versies van Axios vóór 1.8.2 en is verholpen in versie 1.8.2.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid stelt een aanvaller in staat om verzoeken uit te voeren vanuit de server, alsof ze afkomstig zijn van de applicatie zelf. Dit kan leiden tot ongeautoriseerde toegang tot interne resources, zoals databases, API's en andere gevoelige systemen. Daarnaast kan de aanvaller credentials lekken die in de URL zijn opgenomen, wat verdere toegang kan vergemakkelijken. De impact is vergelijkbaar met andere SSRF-kwetsbaarheden, waarbij de aanvaller de server kan misbruiken om interne netwerken te scannen en gevoelige informatie te verzamelen. De blast radius is afhankelijk van de interne systemen die toegankelijk zijn via de SSRF.
Deze kwetsbaarheid is gebaseerd op een eerder gerapporteerd probleem in Axios (axios/axios#6463) en is nu opnieuw gebleken. Er zijn momenteel geen publieke exploits bekend, maar de kwetsbaarheid is wel openbaar gemaakt. De KEV-status is momenteel onbekend. De publicatiedatum is 2025-03-07.
Applications built with Node.js that utilize the Axios package are at risk. This includes both server-side applications (e.g., REST APIs, backend services) and client-side applications (e.g., web applications using Axios for API calls). Specifically, applications that rely on Axios to interact with internal APIs or resources without proper URL validation are particularly vulnerable.
• nodejs / server:
npm list axios• nodejs / server:
find / -name "node_modules/axios" -print• generic web: Inspect application code for instances where Axios is used with absolute URLs, particularly when interacting with internal APIs or resources.
disclosure
Exploit Status
EPSS
0.07% (22% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden van Axios naar versie 1.8.2 of hoger. Indien een upgrade direct niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een WAF (Web Application Firewall) die URL's valideert en potentieel schadelijke verzoeken blokkeert. Een andere optie is het toevoegen van een whitelist van toegestane domeinen of URL-prefixen. Controleer ook de configuratie van Axios om te verzekeren dat er geen onnodige absolute URL's worden gebruikt. Na de upgrade, controleer de applicatielogs op ongebruikelijke verzoeken om te bevestigen dat de kwetsbaarheid is verholpen.
Actualiseer de axios bibliotheek naar versie 1.8.2 of hoger. Dit zal de SSRF kwetsbaarheid en mogelijke credential leakage oplossen bij het gebruik van absolute URLs in de requests. Voer `npm install axios@latest` of `yarn add axios@latest` uit om te updaten.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-27152 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in het Axios Node.js package, waarbij absolute URL's ongefilterd worden verstuurd, wat tot ongeautoriseerde toegang tot interne systemen kan leiden.
U bent mogelijk getroffen als u Axios gebruikt in versie < 1.8.2 en absolute URL's gebruikt in uw verzoeken.
Upgrade Axios naar versie 1.8.2 of hoger. Indien dit niet direct mogelijk is, implementeer dan een WAF of valideer URL's.
Er zijn momenteel geen bevestigde gevallen van actieve exploitatie bekend, maar de kwetsbaarheid is openbaar gemaakt.
Raadpleeg de Axios GitHub repository voor de officiële aankondiging en details: https://github.com/axios/axios
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.