Plataforma
nodejs
Componente
axios
Corrigido em
1.8.3
1.8.2
Uma vulnerabilidade de SSRF (Server-Side Request Forgery) foi descoberta na biblioteca Axios para Node.js. Essa falha ocorre quando URLs absolutas são passadas para o Axios, ignorando a configuração do baseURL, permitindo que um atacante realize requisições não autorizadas para recursos internos. A vulnerabilidade afeta versões anteriores a 1.8.2 e pode levar ao vazamento de informações sensíveis. A correção foi lançada na versão 1.8.2.
A vulnerabilidade SSRF no Axios permite que um atacante force o servidor a fazer requisições para recursos internos que normalmente não seriam acessíveis externamente. Isso pode resultar no acesso a dados confidenciais, como arquivos de configuração, APIs internas e informações de credenciais armazenadas. Em cenários de aplicações web, um atacante pode explorar essa vulnerabilidade para escanear a rede interna em busca de outros serviços vulneráveis, realizar ataques de força bruta ou até mesmo obter acesso a bancos de dados. A exploração bem-sucedida pode levar a um comprometimento significativo da segurança da aplicação e dos dados subjacentes.
Esta vulnerabilidade foi identificada como uma extensão de um problema previamente relatado (axios/axios#6463). Não há evidências de exploração ativa em campanhas públicas no momento da publicação. A vulnerabilidade foi adicionada ao NVD em 2025-03-07. A pontuação EPSS ainda não foi determinada.
Applications built with Node.js that utilize the Axios package are at risk. This includes both server-side applications (e.g., REST APIs, backend services) and client-side applications (e.g., web applications using Axios for API calls). Specifically, applications that rely on Axios to interact with internal APIs or resources without proper URL validation are particularly vulnerable.
• nodejs / server:
npm list axios• nodejs / server:
find / -name "node_modules/axios" -print• generic web: Inspect application code for instances where Axios is used with absolute URLs, particularly when interacting with internal APIs or resources.
disclosure
Status do Exploit
EPSS
0.07% (percentil 22%)
CISA SSVC
A mitigação primária para esta vulnerabilidade é atualizar a biblioteca Axios para a versão 1.8.2 ou superior. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação rigorosa das URLs de entrada e a restrição do acesso a recursos internos. Utilize um Web Application Firewall (WAF) para bloquear requisições suspeitas e configurar regras de proxy para filtrar o tráfego de saída. Monitore os logs de acesso e erro em busca de padrões incomuns de requisição que possam indicar uma tentativa de exploração.
Atualize a biblioteca axios para a versão 1.8.2 ou superior. Isso solucionará a vulnerabilidade SSRF e o possível vazamento de credenciais ao usar URLs absolutas nas requisições. Execute `npm install axios@latest` ou `yarn add axios@latest` para atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-27152 é uma vulnerabilidade SSRF no Axios que permite a requisição de URLs absolutas, ignorando o baseURL, possibilitando o acesso a recursos internos.
Se você estiver utilizando uma versão do Axios anterior a 1.8.2, você está potencialmente afetado. Verifique sua versão e atualize.
Atualize a biblioteca Axios para a versão 1.8.2 ou superior. Se a atualização não for possível, implemente medidas de mitigação como validação de URLs.
Até o momento, não há evidências de exploração ativa em campanhas públicas, mas a vulnerabilidade é considerada de alta severidade.
Consulte o repositório do Axios no GitHub: https://github.com/axios/axios
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.