1. Axios 1.5.1 漏洞 CVE-2023-45857:HTTP 客户端可能泄露敏感 XSRF-TOKEN
一个在 Axios 1.5.1 版本中发现的漏洞,可能导致应用程序无意中将敏感的 XSRF-TOKEN 泄露给潜在的攻击者。该问题被标记为中等严重性,CVSS 评分为 6.5。漏洞的核心在于,该版本的 HTTP 客户端库会错误地将存储在浏览器 cookie 中的 XSRF-TOKEN 包含在发送给任何主机的 HTTP 请求头 `X-XSRF-TOKEN` 中,而不仅仅是预期的目标服务器。这使得攻击者有可能通过中间人攻击或其他方式,查看本应保密的信息。 Axios 是一个广泛使用的、基于 Promise 的 HTTP 客户端,适用于浏览器和 Node.js 环境。此次受影响的特定版本是 1.5.1,但扫描报告在 `axios-0.1...