Axios 1.5.1 漏洞 CVE-2023-45857：HTTP 客户端可能泄露敏感 XSRF-TOKEN

一个在 Axios 1.5.1 版本中发现的漏洞，可能导致应用程序无意中将敏感的 XSRF-TOKEN 泄露给潜在的攻击者。该问题被标记为中等严重性，CVSS 评分为 6.5。漏洞的核心在于，该版本的 HTTP 客户端库会错误地将存储在浏览器 cookie 中的 XSRF-TOKEN 包含在发送给任何主机的 HTTP 请求头 `X-XSRF-TOKEN` 中，而不仅仅是预期的目标服务器。这使得攻击者有可能通过中间人攻击或其他方式，查看本应保密的信息。

Axios 是一个广泛使用的、基于 Promise 的 HTTP 客户端，适用于浏览器和 Node.js 环境。此次受影响的特定版本是 1.5.1，但扫描报告在 `axios-0.19.2.tgz` 文件中检测到了此漏洞，表明依赖链或构建过程中可能包含了易受攻击的代码。该漏洞于 2023 年 11 月 8 日正式披露。对于依赖 Axios 处理包含 XSRF 令牌的认证请求的 Web 应用程序和服务来说，这构成了直接的安全风险。

此漏洞的影响范围取决于应用程序如何使用 XSRF 保护。如果应用程序依赖该令牌进行跨站请求伪造防护，那么令牌的泄露可能削弱其安全机制。开发团队需要立即检查其项目依赖项，确认是否使用了受影响的 Axios 版本（1.5.1），并尽快升级到已修复的版本。未能及时修补可能会使应用程序面临敏感信息暴露的风险，并可能成为更大规模攻击的入口点。