Sintesi

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2025-62718 che interessa Axios, nota libreria client http per l’interoperabilità tra ambienti browser e Node.js.

Impatto Sistemico

Critico (78.58)

Tipologia

• Information Disclosure
• Spoofing

Descrizione e potenziali impatti

Nel dettaglio, la vulnerabilità identificata tramite la CVE-2025-62718, di tipo “Normalization Bypass” e con score CVSS v3.x pari a 9.3, è dovuta all’impossibilità da parte del software di normalizzare gli HOSTNAME prima del filtraggio NO_PROXY .

Qualora sfruttata, tale vulnerabilità potrebbe permettere a un attaccante la possibilità di forzare l’applicazione a inviare richieste opportunamente predisposte da servizi interni che dovrebbero essere isolati, al fine di eludere i controlli perimetrali di sicurezza, carpire informazioni sensibili e facilitare l’interazione non autorizzata con infrastrutture critiche.

Prodotti e versioni affette

Axios

• versioni precedenti alla 1.12.2

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente le release vulnerabili all’ultima versione stabile disponibile.