Hostname Normalization 부재로 인한 Axios SSRF 취약점 및 해결책

Axios CVE-2025–62718: The Silent SSRF Bug That Could Be Hiding in Your Node.js App Right Now

Theresa Okoro2026년 4월 17일4분intermediate

AI 요약

Context

Axios의 NO_PROXY 설정 시 Hostname을 단순 문자열 비교 방식으로 처리함에 따른 취약점 발생. 정규화되지 않은 입력값으로 인해 Proxy 보호 체계를 우회하여 내부망에 접근 가능한 SSRF 위협 노출.

Technical Solution

단순 String Comparison 방식에서 Hostname Normalization 프로세스 도입으로 변경
입력된 Hostname의 형식을 표준화하여 localhost.와 같은 우회 패턴을 차단하는 비교 로직 구현
NO_PROXY 규칙 검증 전 단계에 정규화 레이어를 배치하여 일관된 비교 기준 확보
버전 1.15.0 업데이트를 통한 보안 패치 적용 및 런타임에서의 호스트 검증 강화
Package Manifest 수정을 통한 Exact Version Pinning으로 Supply Chain 공격 경로 차단

실천 포인트

- Axios 사용 시 최신 보안 패치가 적용된

5.0 버전 이상으로 업데이트 - package.json에서 캐럿(^) 기호를 제거하고 버전 번호를 고정하여 의도치 않은 패키지 업데이트 방지 - package.json과 package-lock.json을 항상 함께 커밋하여 CI/CD 환경의 빌드 일관성 유지 - 서버 사이드에서 Proxy 설정을 사용하는 경우 호스트 검증 로직의 정규화 여부 검토

태그

#NO_PROXY #dependency-management #Supply Chain Attack #Hostname Normalization #SSRF

원문 읽기