CVE-2025-62718Axios是流行的Promise-based HTTP客户端。在1.15.0和0.31.0之前的版本中,Axios在检查NO_PROXY规则时存在主机名规范化处理错误。当请求目标是`localhost.`(带尾随点)或`[::1]`等环回地址时,系统会错误地跳过NO_PROXY匹配逻辑,强制请求通过配置的代理服务器。这一行为违背了开发者利用NO_PROXY保护内部服务的预期,导致攻击者可利用该缺陷绕过安全限制,通过代理发起请求,进而引发代理绕过和服务端请求伪造(SSRF)风险,使内网敏感服务暴露在攻击之下。
该漏洞的核心在于Axios库对主机名解析和NO_PROXY环境变量匹配机制的实现缺陷。通常,开发者设置`NO_PROXY=localhost`是为了让对本地环回地址的请求直接发送,而不经过外部代理。然而,Axios在旧版本中未对主机名进行充分的规范化处理。攻击者可以通过在请求URL中使用带有尾随点的域名(如`http://localhost.`)或IPv6字面量`[::1]`,欺骗Axios的匹配算法。由于规范化逻辑的缺失,Axios无法识别这些变体与NO_PROXY列表中的条目相匹配,从而导致本应直连的内部请求被错误地路由到了配置的HTTP代理上。攻击者利用这一特性,可以结合SSRF攻击技术,通过受控的代理服务器探测或攻击应用服务器背后的内网资源,如元数据服务、管理端口等,从而绕过基于网络隔离或NO_PROXY配置的防御体系。修复方案已在1.15.0和0.31.0版本中发布,完善了主机名规范化逻辑。