Опубликована информация о том, что была найдена уязвимость в HTTP-клиенте Axios, которая может быть использована злоумышленниками для подмены запросов на сервере и кражи конфиденциальных данных. Исправление для этой проблемы доступно в версии 1.8.2.
Из-за широкого использования Axios (до 250 миллионов загрузок в месяц), уязвимость с номером CVE-2025-27152 может быть опасна.
Эта уязвимость проявляется, когда вводится абсолютный URL. Даже если был установлен baseURL, Axios все равно отправит запрос, используя полный адрес ресурса.
Из-за этого возникает риск обхода защиты и несанкционированного доступа к ресурсам. Злоумышленники могут использовать эту уязвимость для обращения к другим внутренним хостам в сети или для получения учетных данных и API-ключей.
Уязвимыми являются версии Axios 1.7.9 и ниже, независимо от того, работают они на сервере или на клиенте. Рекомендуется обновить JavaScript-библиотеку до версии 1.8.2 или выше и вводить проверку пути поиска ресурса, а также запретить использование абсолютных URL в запросах, чтобы уменьшить риск эксплойта.
© KiberSec.ru – 02.04.2025, обновлено 02.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
