Popular JavaScript Library ‘Axios’ Exposes Millions to Server-Side Vulnerabilities (CVE-2025-27152)
2025/03/10 SecurityOnline — 広く使用されている JavaScript ライブラリ Axios に、新たな脆弱性が発見された。この脆弱性 CVE-2025-27152 (CVSSv4:7.7) の悪用により、サーバサイド・リクエスト・フォージェリ (SSRF) や認証情報漏洩のリスクに、何百万ものユーザーがさらされるという。
Node.js/Browser 向けの人気の HTTP クライアント ・イブラリ Axios に存在する、脆弱性を悪用する攻撃者が、内部ネットワーク・リソースへ向けたリクエストを送信し、機密情報の漏洩を達成する可能性がることが判明した。この脆弱性 CVE-2025-27152 が影響を及ぼす範囲は、Axios のバージョン 1.7.9 以下となる。
この欠陥は、リクエスト内の “absolute URL” を、Axios が処理する方法に起因する。つまり、”base URL” が設定されている場合あっても、Axios は指定された “absolute URL” にリクエストを送信するため、セキュリティ対策が回避され、想定外のリソースへのアクセスを、攻撃者に許す恐れが生じる。
想定される影響
- 認証情報の漏洩:Axios 内でコンフィグされた、機密性の高い API キーまたは認証情報が、意図しないサードパーティ・ホストに公開される可能性が生じる。
- SSRF (サーバサイド・リクエスト・フォージェリ):この脆弱性を悪用する攻撃者は、Axios プログラムが実行されているネットワーク上の、他の内部ホストへのリクエスト送信の機会を得る。
影響を受けるユーザー
base URL を使用し、パス・パラメータを検証しないソフトウェアは、きわめて脆弱な状態にある。Axios は、2 億5,100万回/月を超えるダウンロードを数えるため、この脆弱性の潜在的な影響は深刻である。
対策
Axios を使用している開発者/組織に対して強く推奨されるのは、パッチを適用したバージョン 1.8.2 以降へと、速やかにアップデートすることだ。さらに、パス・パラメータを検証し、Axios リクエスト内での absolute URL の使用を停止すれば、さらにリスクが軽減される。
この脆弱性の、詳細な技術分析および PoC エクスプロイトに関しては、セキュリティ・アドバイザリを参照してほしい。
Axios JavaScript Library に脆弱性が発生しています。このライブラリは月に2億以上のダウンロードを誇るとのことなので、脆弱性の影響範囲はかなり広範になります。さらに、PoC エクスプロイトが提供されたことで、悪用の可能性も高まります。ご利用のチームは、十分にご注意下さい。よろしければ、Library で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.