PT-2024-28456 · Axios+1 · Axios+1

Jeff Thomas

·

Publicado

2024-08-09

·

Atualizado

2026-04-15

·

CVE-2024-39338

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do axios de 1.3.2 a 1.7.3
Descrição
A vulnerabilidade permite a falsificação de solicitações do lado do servidor (SSRF) devido a um comportamento inesperado, no qual solicitações de URLs relativas ao caminho são processadas como URLs relativas ao protocolo. Isso pode levar ao acesso a sistemas internos ou à exfiltração de dados.
Recomendações
Para as versões do axios 1.3.2 a 1.7.3, atualize para a versão 1.7.5 ou posterior para resolver a vulnerabilidade de alto risco.
Como solução alternativa temporária, considere restringir a manipulação de URLs para minimizar o risco de exploração de SSRF.

Exploit

Correção

RCE

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-918

Identificadores relacionados

CVE-2024-39338
GHSA-8HC4-VH64-CXMJ
OPENSUSE-SU-2024:14282-1
OPENSUSE-SU-2024_3771-1
SUSE-SU-2024:3771-1

Produtos afetados

Suse
Axios