Уязвимость в Axios: риск SSRF и утечки учеток для миллионов юзеров

Татьяна Никитина 11 Марта 2025 - 18:08

Домашние пользователи

...

Опубликована PoC-атака на уязвимость, выявленную прошлым летом в HTTP-клиенте Axios. Эксплойт грозит подменой запросов на стороне сервера (SSRF) и кражей конфиденциальных данных; патч вышел в составе сборки 1.8.2.

Ввиду большой популярности Axios (до 250 млн загрузок в месяц) проблема CVE-2025-27152 предоставляет широкие возможности для злоупотреблений.

Уязвимость проявляется при обработке абсолютных URL в пользовательском вводе. Даже в тех случаях, когда в настройках выставлен baseURL, Axios проигнорирует это и отправит запрос, используя полный адрес ресурса.

В результате возникла угроза обхода защиты и несанкционированного доступа к ресурсам. В случае атаки подобный недочет позволяет через SSRF обращаться к другим внутренним хостам в целевой сети, а также спровоцировать утечку учеток и API-ключей, вставляемых в заголовки запросов.

Уязвимости подвержены экземпляры Axios сборок 1.7.9 и ниже, вне зависимости от того, как они работают — на стороне сервера или клиента. Пользователям настоятельно рекомендуется обновить JavaScript-библиотеку до версии 1.8.2 или выше; риск эксплойта можно снизить вводом проверки пути поиска ресурса и запрета на использование абсолютных URL в запросах.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Марта 2026 - 11:58

Соответствие законодательству РФ Общее

Правительство утвердило дорожную карту по развитию суперкомпьютеров в РФ

Правительство России утвердило дорожную карту по развитию высокопроизводительных вычислений и суперкомпьютерной инфраструктуры. Распоряжение подписал премьер-министр Михаил Мишустин. Документ задаёт вектор, как в ближайшие годы в стране будут развивать суперкомпьютеры, грид-технологии и связанные с ними направления, включая алгоритмы искусственного интеллекта.

Государство решило системно заняться тем, без чего сегодня всё хуже работают и наука, и промышленность, и ИИ. Речь идёт о вычислительных мощностях, которые нужны для сложного моделирования, цифровых испытаний, прогноза погоды, разработки новых материалов, лекарств и цифровых двойников.

Одна из ключевых задач дорожной карты — навести порядок в работе суперкомпьютерных центров коллективного пользования. Для них собираются сформировать единые требования, а также определить понятный порядок доступа для научных организаций и ключевых промышленных предприятий. То есть речь не только о развитии инфраструктуры, но и о правилах её использования.

Документ (PDF) также затрагивает модернизацию уже существующих центров и дальнейшее расширение вычислительных возможностей. Отдельное внимание инициаторы уделяют Национальной исследовательской компьютерной сети нового поколения, которая объединяет сотни российских вузов и научных организаций.

По состоянию на март 2026 года она уже обеспечивает учёным доступ к существующим суперкомпьютерным центрам, а дальнейшее развитие сети должно упростить работу с большими объёмами данных.

Кроме того, дорожная карта предусматривает подготовку концепции отдельной федеральной научно-технической программы. В её рамках планируется развивать отечественные алгоритмы, методы и программное обеспечение для суперкомпьютерных вычислений в разных отраслях экономики. То есть акцент делается не только на «железо», но и на собственный программный стек.

Есть в документе и образовательный блок. Речь идёт о запуске новых и развитии уже существующих программ обучения, связанных с суперкомпьютерными технологиями и высокопроизводительными вычислениями. И это вполне логично: сама по себе инфраструктура ничего не даст, если для неё не будет специалистов.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!