coding 消烦员的博客

主题

axios 漏洞整理

高危

CVE-2025-58754 Axios是一个基于Promise的HTTP客户端,用于浏览器和Node.js。在Axios版本低于0.30.2和1.12.0时,如果在Node.js上运行并给定一个带有data:方案的URL,它不会执行HTTP操作。相反,它的Node http适配器会将整个负载解码到内存中(Buffer/Blob)并返回一个合成200响应。这条路径忽略了maxContentLength / maxBodyLength(这些参数仅保护HTTP响应),因此攻击者可以提供一个非常大的data: URI,导致进程分配无限制的内存并崩溃(DoS),即使调用者请求了responseType: 'stream'。版本0.30.2和1.12.0包含了对该问题的修复。

CVE-2025-27152 axios是一个基于Promise的浏览器和node.js的HTTP客户端。当向axios传递绝对URL而不是协议相对URL时会出现问题。即使设置了baseURL,axios也会向指定的绝对URL发送请求,这可能导致SSRF和凭证泄露。这个问题影响了axios的服务器端和客户端使用。这个问题在0.30.0,1.8.2版本中已修复。

CVE-2024-39338 axios 1.7.2版本中存在意外行为,允许SSRF(服务器端请求伪造),其中路径相对URL的请求被错误地处理为协议相对URL。1.7.4修复

CVE-2021-3749 axios容易受到不高效的正则表达式复杂性的影响 0.21.3 修复

中危

CVE-2019-10742 maxContentLength 问题,node服务端才有问题 CVE-2020-28168 服务端请求伪造 0.21.1,1.0 修复

低微

CVE-2024-57965 1.7.8 版本修复,0.x 未说

Released under the ISC License.

Copyright © 2024-present Estar Zhang