CVE-2026-42043 CVSS 7.2 高危

CVE-2026-42043 Axios NO_PROXY保护绕过漏洞

披露日期: 2026-04-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42043

漏洞类型

安全绕过

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Axios

漏洞概述

Axios是一个流行的基于Promise的HTTP客户端，广泛用于浏览器和Node.js环境。在1.15.1和0.31.1之前的版本中发现了一个高危安全漏洞。由于此前针对CVE-2025-62718的修复不完整，攻击者如果能够控制请求的目标URL，就可以利用127.0.0.0/8网段内除127.0.0.1之外的任意地址，成功绕过NO_PROXY安全保护机制。该漏洞可能导致敏感信息泄露或完整性受损，建议用户尽快升级至修复版本。

技术细节

该漏洞的根本原因在于Axios在解析和遵守NO_PROXY规则时，未能正确覆盖整个环回地址范围127.0.0.0/8。尽管针对CVE-2025-62718的修复试图阻止对127.0.0.1的访问，但修复逻辑不完整，仅排除了精确匹配的127.0.0.1，而忽略了同网段内的其他地址（例如127.0.0.2, 127.1.1.1等）。在利用该漏洞时，攻击者首先需要控制Axios请求的目标URL参数。随后，攻击者构造一个指向非标准环回地址（如127.0.0.2）的URL。当Axios检查该URL是否匹配NO_PROXY列表时，由于校验逻辑的缺陷，该地址未被正确识别为受保护的本地地址，从而绕过了代理限制，直接向本地服务发起请求。这种绕过行为使得针对服务器端请求伪造（SSRF）的现有防御措施失效，可能导致内部端口扫描、敏感数据读取或本地服务攻击。

攻击链分析

STEP 1

信息收集

识别目标应用是否使用了存在漏洞的Axios版本，并确定其依赖NO_PROXY进行SSRF防护。

STEP 2

构造载荷

攻击者利用漏洞特征，构造指向127.0.0.0/8网段内非127.0.0.1地址（如127.0.0.2）的恶意URL。

STEP 3

发起请求

将构造的URL作为参数传递给目标应用，触发Axios发起HTTP请求。

STEP 4

绕过防护

由于Axios校验逻辑缺陷，请求错误地绕过了NO_PROXY限制，直接连接到本地服务。

STEP 5

获取数据

攻击者成功接收到本地服务的响应数据，可能导致敏感信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

const axios = require('axios');

// Simulate environment where NO_PROXY is set to block 127.0.0.1
process.env.NO_PROXY = '127.0.0.1, localhost';

// Attack Vector: Use a different address in the 127.0.0.0/8 range
const targetUrl = 'http://127.0.0.2:8080/secret';

// This request bypasses the NO_PROXY check due to the vulnerability
axios.get(targetUrl)
  .then(response => {
    console.log('Bypass successful! Status:', response.status);
    console.log('Data:', response.data);
  })
  .catch(error => {
    console.error('Request failed:', error.message);
  });

影响范围

Axios < 1.15.1

Axios < 0.31.1

防御指南

临时缓解措施

如果无法立即升级，应在应用代码中增加输入过滤逻辑，明确禁止请求目标IP地址落在127.0.0.0/8、10.0.0.0/8、172.16.0.0/12和192.168.0.0/16等私有网段内，不要仅依赖NO_PROXY环境变量作为唯一的SSRF防御手段。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表