CVE-2025-69202

Nome do Software Vulnerável e Versões Afetadas Versões do Axios Cache Interceptor anteriores a 1.11.1

Descrição O Axios Cache Interceptor, um interceptador de cache para axios, trata incorretamente respostas com o cabeçalho Vary: Authorization. Antes da versão 1.11.1, a chave de cache era gerada exclusivamente a partir da URL, ignorando cabeçalhos de requisição como Authorization. Isso resultava no retorno de respostas em cache incorretas quando um servidor fazia requisições a um serviço upstream utilizando diferentes tokens de autenticação, levando a um potencial bypass de autorização. Aplicações server-side que utilizam o axios-cache-interceptor para armazenar em cache requisições a serviços upstream, lidando com requisições de múltiplos usuários com diferentes tokens de autenticação e dependendo do cabeçalho Vary para diferenciação de cache, estão suscetíveis. Aplicações de navegador ou client-side, onde cada sessão está vinculada a um único usuário, não são afetadas. O problema ocorre porque a biblioteca ignora o cabeçalho Vary, fazendo com que todas as requisições compartilhem o mesmo cache independentemente da autorização. Isso pode levar ao vazamento de dados do usuário entre sessões autenticadas. Após a versão 1.11.1, o suporte ao cabeçalho Vary é habilitado por padrão, incluindo o valor do cabeçalho de autorização na chave de cache.

Recomendações Atualize para a versão 1.11.1 ou posterior para se beneficiar do suporte automático ao cabeçalho Vary.