Node.js モジュール axios < 0.32.0 / 1.x < 1.16.0 NO_PROXY バイパス(SSRF)
high Nessus プラグイン ID 318801
Language:
概要
Node.js JavaScript Runtime Environment のモジュールは、サーバー側のリクエスト偽造の脆弱性による影響を受けます。説明
リモートホストにインストールされている axios Node.js モジュールのバージョンは、0.32.0 より前か、1.16.0 より前の 1.x です。したがって、以下の脆弱性の影響を受けます。- CVE-2025-62718 を修正するために v1.15.0 で導入された shouldBypassProxy は、IPv4 にマッピングされた IPv6 アドレスを正規化しません。NO_PROXY が 127.0.0.1 や 169.254.169.254 などの IPv4 アドレスを一覧表示するとき、IPv4 にマッピングされた IPv6 フォームを使用するリクエスト URL は、設定されたプロキシ経由でルーティングされます。Node.js は、これらのアドレスを下層の IPv4 ホストに解決し、リクエストがブロックされるのではなくプロキシを介して内部サービスに到達するようにします。(CVE-2026-44492)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
axios バージョン 0.32.0 / 1.16.0 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 318801
ファイル名: nodejs_module_axios_1_16_0.nasl
バージョン: 1.1
タイプ: Local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2026/6/5
更新日: 2026/6/5
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: High
基本値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS スコアのソース: CVE-2026-44492
CVSS v3
リスクファクター: High
基本値: 8.6
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
脆弱性情報
CPE: cpe:/a:axios:axios
必要な KB アイテム: installed_sw/Node.js, Host/nodejs/modules/enumerated
パッチ公開日: 2026/5/29
脆弱性公開日: 2026/5/29
参照情報
CVE: CVE-2026-44492
IAVA: 2026-A-0534