CVE-2025-27152 是 Axios Node.js 包中发现的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许攻击者通过构造恶意的绝对 URL 请求,绕过 baseURL 设置,从而发起未经授权的请求,可能导致敏感信息泄露。此问题影响 Axios 的 1.x 版本,建议用户尽快升级至 1.8.2 版本以消除风险。
攻击者可以利用此 SSRF 漏洞向内部网络发起请求,访问通常对外部不可见的资源。这可能包括读取内部文件、访问数据库或与内部服务交互。如果 Axios 用于处理用户提供的 URL,攻击者可以利用此漏洞访问用户未授权访问的资源。更严重的场景下,攻击者可能利用此漏洞执行代码或进行横向移动,进一步扩大攻击范围。此漏洞与之前报告的 Axios SSRF 漏洞类似,但涉及绝对 URL 的处理。
该漏洞已公开披露,并具有中等概率被利用(基于公开信息)。目前尚未观察到大规模的利用活动,但由于 Axios 广泛使用,存在被攻击者的利用的可能性。建议密切关注安全社区的动态,并及时采取缓解措施。该漏洞已发布于 2025-03-07。
Applications built with Node.js that utilize the Axios package are at risk. This includes both server-side applications (e.g., REST APIs, backend services) and client-side applications (e.g., web applications using Axios for API calls). Specifically, applications that rely on Axios to interact with internal APIs or resources without proper URL validation are particularly vulnerable.
• nodejs / server:
npm list axios• nodejs / server:
find / -name "node_modules/axios" -print• generic web: Inspect application code for instances where Axios is used with absolute URLs, particularly when interacting with internal APIs or resources.
disclosure
漏洞利用状态
EPSS
0.07% (22% 百分位)
CISA SSVC
最有效的缓解措施是升级到 Axios 1.8.2 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:严格验证用户提供的 URL,确保其遵循白名单策略;使用网络防火墙或代理服务器限制 Axios 允许访问的外部资源;实施输入验证和清理,防止攻击者构造恶意的绝对 URL。在升级后,请确认 Axios 版本已成功更新,并进行安全测试以验证漏洞已修复。
将 axios 库更新到 1.8.2 或更高版本。这将修复使用绝对 URL 请求时可能发生的 SSRF 漏洞和凭证泄露。运行 `npm install axios@latest` 或 `yarn add axios@latest` 进行更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-27152 是 Axios Node.js 包中发现的服务器端请求伪造 (SSRF) 漏洞,允许攻击者通过构造恶意的绝对 URL 请求,绕过 baseURL 设置,从而发起未经授权的请求。
如果您的应用程序使用了 Axios 1.x 版本,则可能受到此漏洞的影响。建议立即检查您的 Axios 版本,并升级至 1.8.2 或更高版本。
最有效的修复方法是升级到 Axios 1.8.2 或更高版本。如果无法立即升级,请采取临时缓解措施,例如严格验证用户提供的 URL。
目前尚未观察到大规模的利用活动,但由于 Axios 广泛使用,存在被攻击者的利用的可能性。建议密切关注安全社区的动态。
请访问 Axios GitHub 仓库:https://github.com/axios/axios,查找与 CVE-2025-27152 相关的安全公告和更新。