概要
Axios において、ホスト名の正規化処理に不備があり、NO_PROXY ルールのチェックが正しく機能しない脆弱性が存在します。ループバックアドレスに末尾ドット付きの localhost. や IPv6 表記の [::1] でリクエストを送信した場合、NO_PROXY のマッチングがスキップされ、設定済みのプロキシを経由してリクエストが送信されます。
これにより、プロキシバイパス(CWE-441)およびサーバーサイドリクエストフォージェリ(SSRF、CWE-918)が発生する可能性があります。Axios は npm で週間数千万ダウンロードを超える広く利用されているHTTPクライアントであり、影響範囲は極めて大きいです。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSS v3 スコア | 9.9(Critical) |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 必要な特権(PR) | 不要 |
| ユーザー関与(UI) | 不要 |
| 影響の範囲 | 変更あり |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
| CWE | CWE-441(Unintended Proxy or Intermediary)、CWE-918(SSRF) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン | 修正バージョン |
|---|---|---|---|
| Axios | axios | 1.x(1.15.0 未満) | 1.15.0 |
| Axios | axios | 0.x(0.31.0 未満) | 0.31.0 |
修正バージョンと回避策
- 修正: Axios 1.15.0 または 0.31.0 へアップデート
- 回避策: アップデートが即時困難な場合、プロキシ設定を見直し、ループバックアドレスへのリクエストがプロキシを経由しないようネットワークレベルで制御する
- 確認方法:
package.jsonまたはpackage-lock.jsonで axios のバージョンを確認
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。