Geniş çapta kullanılan JavaScript kütüphanesi Axios’ta keşfedilen yeni bir güvenlik açığı, milyonlarca kullanıcının Sunucu Taraflı Talep Sahtekarlığı (SSRF) ve kimlik bilgisi sızıntısı riskiyle karşı karşıya kalmasına neden olabilir.
Node.js ve tarayıcılarda HTTP istemcisi olarak yaygın kullanılan Axios, saldırganların iç ağ kaynaklarına istek göndermesine veya hassas bilgileri sızdırmasına imkan tanıyan bir güvenlik zafiyeti içeriyor. CVE-2025-27152 olarak takip edilen ve CVSSv4 puanı 7.7 olan bu güvenlik açığı, 1.7.9 ve önceki tüm Axios sürümlerini etkiliyor.
Güvenlik Açığının Kaynağı
Bu açık, Axios’un mutlak URL’leri nasıl ele aldığıyla ilgili bir zafiyetten kaynaklanıyor. baseURL kullanılsa bile, Axios istekleri mutlak URL’ye yönlendirmeye devam edebiliyor. Bu durum, güvenlik kontrollerinin atlatılmasına yol açarak saldırganların istenmeyen kaynaklara erişmesine olanak tanıyabilir.
Etkileri:
- Kimlik Bilgisi Sızıntısı: Axios’ta yapılandırılmış hassas API anahtarları veya kimlik bilgileri yetkisiz üçüncü taraflara sızabilir.
- SSRF (Sunucu Taraflı Talep Sahtekarlığı): Saldırganlar bu güvenlik açığını kötüye kullanarak Axios’un çalıştığı ağ üzerindeki diğer iç sistemlere istek gönderebilir.
Risk Altındaki Kullanıcılar
- baseURL kullanan ve URL doğrulaması yapmayan yazılımlar özellikle risk altındadır.
- Axios’un aylık 251 milyondan fazla indirme sayısına sahip olması, bu güvenlik açığının potansiyel etkisini önemli ölçüde artırıyor.
Çözüm ve Öneriler
- Axios kullanıcıları, hemen 1.8.2 veya daha yeni bir sürüme güncelleme yapmalıdır.
- İstek yollarının doğrulanması ve mutlak URL’lerin kullanımının önlenmesi, riski azaltmak için alınabilecek ek önlemler arasındadır.
Sitemizdeki diğer yazılarımızı okuyabilirsiniz.
Leave a Comment