Axios高危漏洞：IPv4映射IPv6地址绕过代理防护，引发SSRF风险

🔓 High 漏洞利用

Axios库1.15.0版本中用于修复CVE-2025-62718的shouldBypassProxy函数存在缺陷，未能正确归一化IPv4映射的IPv6地址（如::ffff:7f00:1对应127.0.0.1）。当NO_PROXY列表中包含IPv4地址时，攻击者可通过IPv6映射形式绕过代理绕过检查，导致请求仍经代理转发，结合云元数据地址可触发SSRF攻击。

来源：OSV | 2026-05-29 | 原文链接

🔍 关键发现

• shouldBypassProxy函数未归一化IPv4映射IPv6地址，导致::ffff:7f00:1无法匹配127.0.0.1
• Node.js内部将IPv4映射IPv6地址解析为底层IPv4主机，请求实际到达内网服务
• 攻击者可利用此漏洞绕过NO_PROXY设置，通过代理访问本应被阻止的内部端点（如云元数据服务169.254.169.254）
• proxy-from-env库也存在相同缺陷，双重绕过防护层

⚔️ 攻击链分析

1. 攻击者构造请求URL为http://[::ffff:a9fe:a9fe]/latest/meta-data/（对应169.254.169.254） 2. axios调用shouldBypassProxy检查，因未归一化返回false，请求经HTTP_PROXY代理转发 3. 代理服务器将请求转发到目标内网IP（169.254.169.254） 4. 攻击者获取云实例元数据（如IAM凭证）

🚩 失陷指标 (IOC)

• 请求URL中包含IPv4映射IPv6地址模式：::ffff:xxxx:xxxx
• 代理日志中出现对::ffff:7f00:1或::ffff:a9fe:a9fe等地址的请求

🛡️ 缓解建议

• ✅ 升级axios至v1.15.1或更高版本（官方已修复归一化逻辑）
• ✅ 在应用层额外添加IP地址归一化校验，将IPv4映射IPv6地址转换为纯IPv4格式再与NO_PROXY比对
• ✅ 限制HTTP_PROXY/HTTPS_PROXY环境变量仅允许可信代理，并严格审查代理日志
• ✅ 使用网络防火墙或WAF规则拦截包含IPv4映射IPv6地址的请求

涉及漏洞：["CVE-2026-44492"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。