2025年7月、PromiseベースのHTTPクライアントでNode.jsとReactでも広く利用されている人気のHTTPクライアントライブラリ「Axios」において、依存パッケージを通じた重大な脆弱性が報告されました。
該当するのは、Axios v1.10.0に含まれる [email protected] に起因する脆弱性で、CVE-2025-7783として追跡されており、CVSSスコアは「9.4(クリティカル)」と評価されています。
影響範囲と対象バージョン
本脆弱性は以下の環境で発生します
-
脆弱なform-dataのバージョン
-
2.5.4未満
-
3.0.0〜3.0.3
-
4.0.0〜4.0.3
-
-
影響を受けるAxiosバージョン
-
1.10.0([email protected] を依存として使用)
-
Axiosはnpmで月間2億回以上ダウンロードされており、Node.jsやReact、ブラウザで広く利用されています。そのため、影響を受けるアプリケーション数は膨大と見られています。
脆弱性に対策バージョン
-
[email protected]を利用している場合は、速やかに1.11.0以上へアップグレードしてください。
また、依存関係に含まれるform-dataのバージョンも確認し、4.0.4以上に更新されていることを必ずご確認ください。
脆弱性の内容
問題の中心は、form-data パッケージが Math.random() を用いてマルチパートリクエストに必要な「境界値(boundary)」を生成している点にあります。Math.random() は決して暗号学的に安全な乱数生成ではなく、攻撃者がその値のパターンを予測することが可能です。
このため、攻撃者がマルチパートリクエストの解析ロジックを悪用し、意図しないパラメータを注入したり、リクエストの構造そのものを操作するリスクがあります。特に、下記のような攻撃に発展する可能性があります。
-
HTTPパラメータ汚染(HTTP Parameter Pollution)
-
リクエストスマグリング
-
サーバ側の逆シリアライズ処理の誤作動
また簡単なPoCも公開されているので、現実的にサイバー攻撃者に悪用される可能性もあるので注意が必要です。








