专栏名称: 前端早读课
我们关注前端,产品体验设计,更关注前端同行的成长。 每天清晨五点早读,四万+同行相伴成长。
目录
相关文章推荐
前端之巅  ·  历时 5 ... ·  22 小时前  
吉林市场监管  ·  3·15优化消费环境 市场监管在行动 ⑦|辉南县 ·  昨天  
吉林市场监管  ·  3·15优化消费环境 市场监管在行动 ⑦|辉南县 ·  昨天  
前端早读课  ·  【早阅】Vibe Coding 宣言 ·  2 天前  
前端早读课  ·  【早阅】Axios 请求可能存在 ... ·  2 天前  
青云说说  ·  如何定义好酒? ·  2 天前  
青云说说  ·  如何定义好酒? ·  2 天前  
51好读  ›  专栏  ›  前端早读课

【早阅】Axios 请求可能存在 SSRF和凭据泄露风险

前端早读课  · 公众号  · 前端  · 2025-03-18 08:00

正文

Axios 请求可能存在 SSRF(服务器端请求伪造)和凭据泄露风险

作者:@jasonsaayman
原文: https://github.com/advisories/GHSA-jr5f-v2jv-69x6

背景

GitHub Advisory Database 最近发布了一个关于 axios 库的高严重性漏洞(CVE-2025-27152)。该漏洞涉及使用绝对 URL 时可能导致服务器端请求伪造(SSRF)和凭证泄露。

axios 是一个广泛使用的 JavaScript 库,用于在浏览器和 Node.js 中发起 HTTP 请求。目前最新版本是V1.8.3。

要点

漏洞描述

当使用绝对 URL 时,axios 会忽略 baseURL 的设置,直接将请求发送到指定的绝对 URL,这可能导致 SSRF 攻击和敏感凭证泄露。

在传递绝对 URL 而不是协议相对 URL 给 Axios 时,即使设置了 baseURL,Axios 仍然会向指定的绝对 URL 发送请求。这可能导致 SSRF(服务器端请求伪造)和凭据泄露。此问题影响 Axios 在服务器端和客户端的使用。

影响范围

所有使用 baseURL 且未对路径参数进行验证的软件都可能受到影响。

修复版本

axios 1.8.2 版本已修复此问题。

【第3234期】fetchLater:JS全新API支持关闭页面时安全发送网络请求

分析

该漏洞的核心问题在于 axios 在处理绝对 URL 时未正确验证 baseURL 。例如,即使设置了 baseURL http://example.test/api/v1/users/ ,如果用户传入的路径参数为 http://attacker.test/ ,axios 会将请求发送到 http://attacker.test/ ,而不是预期的 baseURL

请考虑以下代码片段: 

 import axios from"axios";

const internalAPIClient = axios.create({
   baseURL:"http://example.test/api/v1/users/",
   headers:{






请到「今天看啥」查看全文


推荐文章
前端之巅  ·  历时 5 年,这款开源全栈框架火爆问世,GitHub 狂揽 15K 星!网友:不支持 Vue,差评
22 小时前
吉林市场监管  ·  3·15优化消费环境 市场监管在行动 ⑦|辉南县
昨天
吉林市场监管  ·  3·15优化消费环境 市场监管在行动 ⑦|辉南县
昨天
前端早读课  ·  【早阅】Vibe Coding 宣言
2 天前
前端早读课  ·  【早阅】Axios 请求可能存在 SSRF和凭据泄露风险
2 天前
青云说说  ·  如何定义好酒?
2 天前
青云说说  ·  如何定义好酒?
2 天前
掌上新疆  ·  新疆哈萨克族姑娘带着一根马鞭去鉴宝,没想到专家竟然这样说!
8 年前
雷科技  ·  OV 竟占了一半,2016 网友公认的“智商鉴定机”大起底
8 年前
微设计  ·  盖个土房子
8 年前
美好滁州  ·  幽默一刻!
8 年前
上海发布  ·  【纪检】金山区通报2起违反中央八项规定精神典型案例
8 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!