リモートホストにインストールされている axios Node.js モジュールのバージョンは、1.15.0 より前です。そのため、以下の複数の脆弱性の影響を受けます。

  - NO_PROXY ルールをチェックする際に、Axios がホスト名の正規化を正しく処理しません。localhost のようなループバックアドレスにリクエストします。(末尾のドット付き) または [::1] (IPv6 リテラル) は、NO_PROXY の照合をスキップし、設定されたプロキシを通過します。これにより、NO_PROXY がループバックまたは内部サービスを保護するように設定されている場合でも、攻撃者がプロキシ経由のリクエストを強制することが可能になり、プロキシバイパスおよび SSRF の脆弱性につながる可能性があります。
    (CVE-2025-62718)

  - Axios ライブラリは、特定のガジェット攻撃チェーンに対して脆弱です。これにより、サードパーティ依存関係のプロトタイプ汚染が、AWS IMDSv2 バイパスによってリモートコード実行 (RCE) または完全なクラウド侵害に昇格される可能性があります。(CVE-2026-40175)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Node.js Module axios < 1.15.0 の複数の脆弱性

medium Nessus プラグイン ID 306741

バージョン 1.3