Lỗ hổng SSRF trong Axios cho phép vượt NO_PROXY, có thể gây rò rỉ dữ liệu nội bộ

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.801 bài viết
Lỗ hổng SSRF trong Axios cho phép vượt NO_PROXY, có thể gây rò rỉ dữ liệu nội bộ
WhiteHat Team
Axios, một trong những HTTP client phổ biến nhất hiện nay, vừa được phát hiện tồn tại lỗ hổng nghiêm trọng có thể làm suy yếu cơ chế bảo vệ mạng nội bộ. Lỗ hổng CVE-2025-62718 với điểm CVSS 9.3 cho phép kẻ tấn công vượt qua cấu hình NO_PROXY, khiến các yêu cầu nội bộ bị chuyển qua proxy và có thể bị lợi dụng để truy cập trái phép hoặc thu thập dữ liệu.
axios1.png

Nguyên nhân bắt nguồn từ cách Axios xử lý và so sánh hostname. Trong nhiều hệ thống, biến môi trường NO_PROXY được sử dụng để đảm bảo các yêu cầu tới localhost hoặc các địa chỉ nội bộ như 127.0.0.1 không bị chuyển qua proxy bên ngoài. Tuy nhiên, Axios lại so sánh chuỗi trực tiếp mà không chuẩn hóa hostname trước khi đối chiếu với NO_PROXY, dẫn đến sai lệch trong quá trình kiểm tra.

Sai lệch này có thể bị khai thác thông qua các biến thể hostname hợp lệ nhưng không được Axios xử lý đúng. Theo tiêu chuẩn DNS RFC 1034, một hostname có thể kết thúc bằng dấu chấm như “localhost.”, về bản chất tương đương với “localhost”. Tuy nhiên, Axios không coi hai giá trị này là trùng khớp với cấu hình NO_PROXY=localhost. Tương tự, các địa chỉ loopback IPv6 như [::1] cũng không được so khớp đúng với NO_PROXY, khiến cơ chế lọc bị bỏ qua.

Khi các trường hợp này không được xử lý đúng, cơ chế NO_PROXY gần như bị vô hiệu hóa, khiến các yêu cầu nội bộ bị chuyển tiếp qua proxy đã cấu hình. Điều này cho phép kẻ tấn công khai thác SSRF để ép ứng dụng truy cập các dịch vụ nội bộ, đồng thời thu thập dữ liệu trả về. Các thông tin như thông tin xác thực, cấu hình hệ thống hoặc dữ liệu người dùng có thể bị chuyển qua proxy do kẻ tấn công kiểm soát, dẫn đến rò rỉ dữ liệu nội bộ.

CVE-2025-62718 được xác nhận tồn tại trên Axios phiên bản 1.12.2 và có khả năng ảnh hưởng đến tất cả các phiên bản sử dụng logic đánh giá NO_PROXY hiện tại. Trước mức độ nghiêm trọng này, các quản trị viên cần khẩn trương rà soát cấu hình, đặc biệt với các hệ thống phụ thuộc vào NO_PROXY, đồng thời cập nhật lên phiên bản đã được vá lỗi để giảm nguy cơ bị khai thác. Trong trường hợp chưa thể cập nhật ngay, cần chủ động áp dụng biện pháp giảm thiểu rủi ro bằng cách chuẩn hóa URL đầu vào trước khi gửi qua Axios, loại bỏ hostname có dấu chấm kết thúc và các định dạng IPv6 không được xử lý đúng nhằm hạn chế khả năng bị khai thác.
Theo Security Online
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng nghiêm trọng trong Axios có thể chiếm quyền toàn bộ hệ thống cloud
  • Lỗ hổng trong React Server Components: Nguy cơ bị tấn công DoS từ xa
  • Lỗ hổng nghiêm trọng trong Marimo bị khai thác chỉ sau vài giờ công bố
  • Lỗ hổng trên GitHub Copilot cho phép âm thầm trích xuất mã nguồn và API Key
  • Smart Slider 3 Pro phát tán mã độc qua kênh cập nhật chính thức, đe dọa hàng loạt website
  • Cảnh báo phishing: Lợi dụng thông báo Meta để chiếm quyền tài khoản
    • Thẻ
    axios cve-2025-62718 lỗ hổng ssrf no_proxy
    Bên trên