漏洞类型 | 侵犯隐私 | 发现时间 | 2023-11-09 | 漏洞等级 | 高危 |
MPS编号 | MPS-v3q7-sjd2 | CVE编号 | CVE-2023-45857 | 漏洞影响广度 | 广 |
漏洞危害
OSCS 描述 |
Axios 是一个基于 Promise 的浏览器和 Node.js 的 HTTP 客户端。 在 Axios 受影响版本中,当 XSRF-TOKEN cookie 可用且 withCredentials 设置打开时,该库会在对任何服务器的所有请求中将 XSRF-TOKEN cookie 值插入 X-XSRF-TOKEN 标头。攻击者可以通过构造链接、页面等方式诱导受害者点击,以受害者的身份执行未经授权的操作,可能导致账户被接管、数据泄露等安全问题。 参考链接:https://www.oscs1024.com/hd/MPS-v3q7-sjd2 |
影响范围及处置方案
OSCS 平台影响范围和处置方案
影响范围 | 处置方式 | 处置方法 |
axios (-∞, 1.6.0) | 更新 | 将组件 axios到 1.6.0 或更高版本 |
参考链接:https://www.oscs1024.com/hd/MPS-v3q7-sjd2 |
排查方式
方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-v3q7-sjd2
https://github.com/axios/axios/issues/6006
https://nvd.nist.gov/vuln/detail/CVE-2023-45857
https://github.com/axios/axios/pull/6028/commits/53817f84e5538e5635df569f23d8cafa3953fb85
https://github.com/axios/axios/pull/6028/commits/677c015728af2d81e4957069bcd2f6d0136aee9f