Axiosの依存パッケージに深刻な脆弱性、HTTPパラメータ汚染やリクエスト操作の危険性(CVE-2025-7783)

セキュリティニュース

投稿日時: 更新日時:

Axiosの依存パッケージに深刻な脆弱性、HTTPパラメータ汚染やリクエスト操作の危険性(CVE-2025-7783)

2025年7月、PromiseベースのHTTPクライアントでNode.jsとReactでも広く利用されている人気のHTTPクライアントライブラリ「Axios」において、依存パッケージを通じた重大な脆弱性が報告されました。

該当するのは、Axios v1.10.0に含まれる [email protected] に起因する脆弱性で、CVE-2025-7783として追跡されており、CVSSスコアは「9.4(クリティカル)」と評価されています。

影響範囲と対象バージョン

本脆弱性は以下の環境で発生します

  • 脆弱なform-dataのバージョン

    • 2.5.4未満

    • 3.0.0〜3.0.3

    • 4.0.0〜4.0.3

  • 影響を受けるAxiosバージョン

Axiosはnpmで月間2億回以上ダウンロードされており、Node.jsやReact、ブラウザで広く利用されています。そのため、影響を受けるアプリケーション数は膨大と見られています。

脆弱性に対策バージョン

  • [email protected] を利用している場合は、速やかに 1.11.0 以上へアップグレードしてください。
    また、依存関係に含まれる form-data のバージョンも確認し、4.0.4以上に更新されていることを必ずご確認ください。

脆弱性の内容

問題の中心は、form-data パッケージが Math.random() を用いてマルチパートリクエストに必要な「境界値(boundary)」を生成している点にあります。Math.random() は決して暗号学的に安全な乱数生成ではなく、攻撃者がその値のパターンを予測することが可能です。

このため、攻撃者がマルチパートリクエストの解析ロジックを悪用し、意図しないパラメータを注入したり、リクエストの構造そのものを操作するリスクがあります。特に、下記のような攻撃に発展する可能性があります。

  • HTTPパラメータ汚染(HTTP Parameter Pollution)

  • リクエストスマグリング

  • サーバ側の逆シリアライズ処理の誤作動

また簡単なPoCも公開されているので、現実的にサイバー攻撃者に悪用される可能性もあるので注意が必要です。