В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в популярной JavaScript-библиотеке "axios", широко используемой для выполнения HTTP-запросов. Идентификатор уязвимости - BDU:2026-05097, также ей присвоен идентификатор CVE-2025-62718. Проблема затрагивает все версии "axios" до 1.15.0 и связана с недостаточной проверкой запросов на стороне сервера при обработке правил "NO_PROXY". Уязвимость позволяет удаленному злоумышленнику осуществить атаку типа Server-Side Request Forgery (SSRF, подделка межсайтовых запросов).
Детали уязвимости
Основная опасность заключается в архитектурном дефекте, классифицируемом как "непреднамеренный прокси-сервер" и "серверная фальсификация запросов". Эксплуатация этой уязвимости позволяет атакующему обойти механизмы, запрещающие проксирование запросов к определенным внутренним ресурсам. Следовательно, злоумышленник может заставить уязвимый сервер выполнить несанкционированные HTTP-запросы к внутренним системам, которые в обычных условиях изолированы от внешнего интернета. Например, это могут быть системы управления, базы данных или API, доступные только внутри периметра сети организации.
Оценка по методологии CVSS 3.1 присваивает уязвимости максимально высокий балл - 9.9, что соответствует критическому уровню опасности. Столь высокая оценка обусловлена несколькими факторами. Во-первых, для эксплуатации не требуется никаких специальных привилегий или взаимодействия с пользователем. Во-вторых, атака может быть проведена удаленно через сеть. В-третьих, потенциальное воздействие на конфиденциальность оценивается как высокое, поскольку атакующий может получить доступ к чувствительной информации внутренних систем. Кроме того, существует возможность модификации данных и частичного влияния на доступность сервисов.
Производитель, NPM, Inc., уже подтвердил наличие уязвимости и выпустил исправление. Уязвимость была устранена в версии "axios" 1.15.0. Соответственно, основной и рекомендуемой мерой защиты является немедленное обновление библиотеки до актуальной версии. Важно отметить, что, согласно данным BDU, эксплойт для этой уязвимости уже существует в открытом доступе, что значительно увеличивает актуальность угрозы и сокращает время на реагирование для администраторов.
В рекомендациях BDU также содержится важное замечание, связанное с геополитической обстановкой. В связи с действующими санкциями организациям рекомендуется проводить дополнительную оценку рисков перед установкой любых обновлений из внешних источников. Тем не менее, учитывая критический характер уязвимости и наличие официального исправления от вендора, обновление остается ключевым действием.
Помимо основного патча, эксперты рекомендуют ряд компенсирующих мер для организаций, которые не могут мгновенно обновить все системы. Эффективной мерой может стать развертывание межсетевого экранирования уровня веб-приложений, известного как WAF. Такой экран способен фильтровать вредоносный трафик и блокировать попытки эксплуатации SSRF. Кроме того, следует строго ограничивать сетевой доступ к уязвимым приложениям из интернета, применяя принцип минимальных привилегий.
Еще одной полезной практикой является внедрение систем обнаружения и предотвращения вторжений (IDS/IPS). Эти системы могут помочь в мониторинге сетевой активности и оперативном выявлении подозрительных шаблонов запросов, характерных для SSRF-атак. Одновременно с этим целесообразно использовать схемы доступа по "белому списку", разрешающие взаимодействие только с доверенными ресурсами. Для организации безопасного удаленного доступа к инфраструктуре рекомендуется применять виртуальные частные сети (VPN).
Обнаружение данной уязвимости в столь распространенной библиотеке, как "axios", в очередной раз подчеркивает важность регулярного аудита зависимостей в современных веб-приложениях. Многие проекты включают "axios" как транзитивную зависимость, поэтому необходимо проверить и обновить все экземпляры в стеке разработки. Инцидент также демонстрирует, что даже хорошо зарекомендовавшие себя и протестированные библиотеки могут содержать серьезные архитектурные изъяны, ведущие к компрометации всей системы. Своевременное применение исправлений и комплексный подход к безопасности остаются лучшей защитой от подобных угроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-05097
- https://www.cve.org/CVERecord?id=CVE-2025-62718
- https://github.com/axios/axios/releases/tag/v1.15.0
- https://github.com/axios/axios/security/advisories/GHSA-3p68-rc4w-qgx5
