JVNDB-2026-011199

axios projectのaxiosにおける複数の脆弱性

AxiosはブラウザとNode.js向けのPromiseベースのHTTPクライアントです。バージョン1.15.0および0.31.0より前のバージョンでは、AxiosはNO_PROXYルールをチェックする際にホスト名の正規化を正しく処理していませんでした。localhost.（末尾にドットがあるもの）や[::1]（IPv6リテラル）のようなループバックアドレスへのリクエストはNO_PROXYマッチングをスキップし、設定されたプロキシを経由して送信されてしまいます。これは開発者の意図に反しており、NO_PROXYがループバックまたは内部サービスを保護するために設定されていても、攻撃者がリクエストを強制的にプロキシ経由で送ることを可能にします。この問題により、プロキシのバイパスやSSRFの脆弱性が発生し、攻撃者が設定された保護を無視して機密性の高いループバックまたは内部サービスに到達する可能性があります。この脆弱性はバージョン1.15.0および0.31.0で修正されました。

axios project

• axios 1.15.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアの一部が停止する可能性があります。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : NO_PROXY Hostname Normalization Bypass Leads to SSRF  Advisory  axios/axios  GitHub

1. フィルタリング回避(CWE-441) [その他]
2. サーバサイドのリクエストフォージェリ(CWE-918) [その他]

1. CVE-2025-62718

1. National Vulnerability Database (NVD) : CVE-2025-62718
2. 関連文書 : Release v1.15.0  axios/axios  GitHub
3. 関連文書 : RFC 3986 - Uniform Resource Identifier (URI): Generic Syntax
4. 関連文書 : fix: no_proxy hostname normalization bypass leads to ssrf by jasonsaayman  Pull Request #10661  axios/axios  GitHub
5. 関連文書 : fix: backport the fixes from the v1 branch (#10688)  axios/axios@03cdfc9  GitHub
6. 関連文書 : fix: no_proxy hostname normalization bypass leads to ssrf (#10661)  axios/axios@fb3befb  GitHub
7. 関連文書 : RFC 1034 - Domain names - concepts and facilities
8. 関連文書 : github.com
9. 関連文書 : Release v0.31.0  axios/axios  GitHub

• [2026年04月16日]
    掲載