一、 漏洞 CVE-2025-27152 基础信息
漏洞信息
                                        # 通过axios请求中的绝对URL可能导致SSRF和凭证泄露

# 漏洞描述

## 概述
axios 是一个基于 promise 的 HTTP 客户端,用于浏览器和 node.js。当使用绝对 URL 而不是协议相对 URL 时,axios 会发送请求到指定的绝对 URL,即使设置了 `baseURL` 也会如此,这可能导致服务器端请求伪造(SSRF)和凭证泄露。

## 影响版本
- 影响版本:低于 1.8.2 的所有版本
- 修复版本:1.8.2

## 细节
当向 axios 传递绝对 URL(例如 `https://example.com`)而不是协议相对 URL(例如 `//example.com`)时,即使设置了 `baseURL`,axios 仍然会发送请求到绝对 URL 指定的地址。这可能导致 SSRF 攻击和凭证泄露。

## 影响
- 服务器端和客户端使用 axios 的情况均受影响
- 可能导致服务器端请求伪造(SSRF)和凭证泄露
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Possible SSRF and Credential Leakage via Absolute URL in axios Requests
来源:美国国家漏洞数据库 NVD
漏洞描述信息
axios is a promise based HTTP client for the browser and node.js. The issue occurs when passing absolute URLs rather than protocol-relative URLs to axios. Even if ⁠baseURL is set, axios sends the request to the specified absolute URL, potentially causing SSRF and credential leakage. This issue impacts both server-side and client-side usage of axios. This issue is fixed in 1.8.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
服务端请求伪造(SSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
Axios 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Axios是Axios开源的一款基于Promise(异步编程的一种解决方案)的HTTP客户端。 Axios 1.8.2之前版本存在代码问题漏洞,该漏洞源于传递绝对URL可能导致SSRF和凭据泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-27152 的公开POC
# POC 描述 源链接 神龙链接
1 Demonstration of CVE-2025-27152 https://github.com/andreglock/axios-ssrf POC详情
三、漏洞 CVE-2025-27152 的情报信息