axios — это HTTP-клиент на основе обещаний для браузера и node.js. Проблема возникает при передаче в axios абсолютных URL-адресов, а не URL-адресов, относящихся к протоколу. Даже если установлен baseURL, axios отправляет запрос на указанный абсолютный URL-адрес, что потенциально может вызвать SSRF и утечку учетных данных.
Эта проблема влияет на использование axios как на стороне сервера, так и на стороне клиента. Эта проблема исправлена в версии 1.8.2.
Показать оригинальное описание (EN)
axios is a promise based HTTP client for the browser and node.js. The issue occurs when passing absolute URLs rather than protocol-relative URLs to axios. Even if baseURL is set, axios sends the request to the specified absolute URL, potentially causing SSRF and credential leakage. This issue impacts both server-side and client-side usage of axios. This issue is fixed in 1.8.2.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Axios Axios
cpe:2.3:a:axios:axios:*:*:*:*:*:node.js:*:*
|
— |
0.30.0
|
|
Axios Axios
cpe:2.3:a:axios:axios:*:*:*:*:*:node.js:*:*
|
1.0.0
|
<= 1.7.9
|