Node.js 模块 axios < 0.32.0 / 1.x < 1.16.0 NO_PROXY绕过 (SSRF)
high Nessus 插件 ID 318801
语言:
简介
Node.js JavaScript 运行环境中的一个模块受到服务器端请求伪造漏洞的影响。描述
远程主机上安装的 axios Node.js 模块版本低于或1.x1.16.0低于 0.32.0 。因此,该产品系列受到以下漏洞的影响:- v1.15.0 中引入的 shouldBypassProxy 用于修复 CVE-2025-62718未规范化 IPv4 映射的 IPv6 地址。当 NO_PROXY列出 IPv4 地址(如 127.0.0.1 或 169.254.169.254)时,使用 IPv4 映射的 IPv6 表单的请求 URL 仍会通过已配置的代理进行路由。Node.js将这些地址解析到底层 IPv4 主机,因此请求通过代理到达内部服务,而不会被拦截。(CVE-2026-44492)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 axios 版本/1.16.0或更高版本0.32.0。另见
插件详情
严重性: High
ID: 318801
文件名: nodejs_module_axios_1_16_0.nasl
版本: 1.1
类型: Local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2026/6/5
最近更新时间: 2026/6/5
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: High
基本分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS 分数来源: CVE-2026-44492
CVSS v3
风险因素: High
基本分数: 8.6
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
漏洞信息
CPE: cpe:/a:axios:axios
必需的 KB 项: installed_sw/Node.js, Host/nodejs/modules/enumerated
补丁发布日期: 2026/5/29
漏洞发布日期: 2026/5/29
参考资料信息
CVE: CVE-2026-44492
IAVA: 2026-A-0534