CVE-2024-57965

Nome do Software Vulnerável e Versões Afetadas Versões do axios anteriores à 1.7.8

Descrição A questão está relacionada ao arquivo isURLSameOrigin.js na biblioteca axios, o qual não utiliza um objeto URL ao determinar uma origem e possui uma chamada setAttribute('href', href) potencialmente indesejada. Algumas partes acreditam que a alteração no código apenas resolve uma mensagem de alerta de uma ferramenta SAST e não corrige uma vulnerabilidade.

Recomendações Para versões anteriores à 1.7.8, atualize para a versão 1.7.8 ou posterior para resolver a questão. Como medida de contorno temporária, considere desativar a função isURLSameOrigin.js até que uma correção esteja disponível. Restrinja o acesso ao arquivo lib/helpers/isURLSameOrigin.js para minimizar o risco de exploração. Evite utilizar o atributo href nos endpoints de API afetados até que a questão seja resolvida.