CVE-2025-58754

Nome do Software Vulnerável e Versões Afetadas Versões do Axios anteriores a 1.11.0

Descrição O Axios, um cliente HTTP baseado em promessas para navegadores e Node.js, é suscetível a um ataque de negação de serviço (DoS) quando executado no Node.js e processando URLs com o esquema data:. O adaptador http do Node decodifica toda a carga útil do URI data: em memória sem limitações de tamanho, ignorando as configurações maxContentLength e maxBodyLength. Isso permite que um atacante forneça um URI data: grande, causando alocação de memória sem limites e potencialmente causando a falha do processo, mesmo quando responseType está definido como 'stream'. Aproximadamente 2,2 milhões de instâncias estão potencialmente vulneráveis.

Recomendações Atualize para a versão 1.11.0 ou superior do Axios.