1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. JavaScriptの人気ライブラリAxiosで重大な脆弱性(CVE-2025-27152)

JavaScriptの人気ライブラリAxiosで重大な脆弱性(CVE-2025-27152)

セキュリティニュース

投稿日時: 更新日時:

JavaScriptの人気ライブラリAxiosで重大な脆弱性(CVE-2025-27152)

JavaScriptの人気ライブラリ Axios(アクシオス)で重大な脆弱性(CVE-2025-27152)が発生しています。公式からPoCも公開されているので対象者はアップデートする事をお勧めします。

脆弱性の対象バージョン

1.7.9 までのすべてのバージョン

脆弱性の対策バージョン

1.8.2以上のバージョン

また、パス パラメータを検証し、Axios リクエストで絶対 URL を使用しないようにすることで、リスクを軽減できます。

脆弱性 CVE-2025-27152 の概要

Axiosは、Node.jsやブラウザ向けに提供されているHTTPクライアントライブラリで、世界中で広く利用されています。今回発見された「CVE-2025-27152」は、Axiosのリクエスト処理における不適切なURLハンドリングが原因です。

Axiosは、baseURLが設定されている場合でも、絶対URLを指定されたリクエストに対してはそのURLにリクエストを送信してしまいます。

これにより、特定の条件下ではセキュリティ制御を回避し、意図しないリソースへのアクセスや不正アクセスへの悪用が可能となってしまいます。

特に影響を受けるユーザー

  • baseURLを設定しているが、パスパラメータの検証を行っていないソフトウェア。
  • 絶対URLの使用を避けていないシステム。
  • 特に内部システムにアクセスするためのAPIクライアントとしてAxiosを使用している場合はリスクが高まります。

関連記事

「思い出で持ち出した」元工場長が自動車部品 製造データを不正に持ち出しで逮捕「思い出として持ち出した」元工場長が自動車部品 製造データを不正に持ち出し 逮捕 米国のカスペルスキーはPangoに買収されUltraAVへ移行米国のカスペルスキーはPangoに買収されUltraAVへ移行 Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577) 岸田文雄前首相の写真を無断使用した広告がスマートニュースに掲載されていた岸田文雄前首相の写真を無断使用した広告がスマートニュースに掲載されていた Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283) OpenSSHの重大な脆弱性がDoS 攻撃や中間者攻撃に悪用される可能性(CVE-2025-26465,CVE-2025-26466)OpenSSHの重大な脆弱性がDoS 攻撃や中間者攻撃に悪用される可能性(CVE-2025-26465,CVE-2025-26466) Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302)Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302) Google が重大度が高いChromeを脆弱性修正 (CVE-2025-0444,CVE-2025-0445)Google がChromeの重大な脆弱性を修正 (CVE-2025-0444,CVE-2025-0445)