文章总结： Axios爆出SSRF漏洞CVE-2026-40175，影响版本低于1.15.0，攻击者可通过构造URL实现内网探测与敏感信息泄露，特定条件下可能升级为RCE。官方已发布v1.15.0修复版本，临时缓解措施包括严格校验Host头避免非标准头信任。微步产品已支持漏洞检测与资产排查。 综合评分： 87 文章分类： 漏洞分析,威胁情报,漏洞预警,解决方案,应急响应

Axios爆SSRF漏洞，特定条件下可导致RCE

原创

微步情报局 微步情报局

微步在线研究响应中心

2026年4月14日 15:06 北京

在小说阅读器读本章

去阅读

漏洞概况

Axios是一个基于Promise的HTTP客户端，广泛应用于浏览器和Node.js环境。

近日，Axios官方发布安全通告，修复了一个SSRF漏洞（CVE-2026-40175）。微步情报局已成功复现该漏洞。经分析，该漏洞无需用户权限即可利用。攻击者可通过传入相对URL或绝对URL的方式，控制请求发送至非预期目标，从而对内网服务发起探测与访问，导致敏感信息泄露或内网资产被攻击。

值得注意的是，在特定场景下，若结合不安全的运行环境配置或业务代码，影响会进一步扩大，导致远程代码执行。建议受影响用户尽快升级修复。（完整漏洞情报请查阅 https://x.threatbook.com/v5/vul/XVE-2026-13154）

漏洞处置优先级(VPT)

综合处置优先级：中风险

| | | | | — | — | — | | 基本信息 | 微步编号 | XVE-2026-13154 | | CVE编号 | CVE-2026-40175 | | 漏洞类型 | SSRF | | 利用条件评估 | 利用漏洞的网络条件 | 远程 | | 是否需要绕过安全机制 | 否 | | 对被攻击系统的要求 | 无特殊要求 | | 利用漏洞的权限要求 | 无须用户权限 | | 是否需要受害者配合 | 否 | | 利用情报 | POC是否公开 | 是 | | 已知利用行为 | 暂无 |

漏洞影响范围

| | | | — | — | | 产品名称 | Axios | | 受影响版本 | < 1.15.0 | | 有无修复补丁 | 有 |

漏洞复现

SSRF:

RCE:

修复方案

官方修复方案

官方已发布修复方案，请访问链接下载： https://github.com/axios/axios/releases/tag/v1.15.0

临时缓解措施

配置层：对 Host 头进行严格校验，仅允许业务使用的合法域名，避免攻击者通过伪造或覆盖 Host 头访问非预期的内部服务；同时避免直接信任 X-Forwarded-Host、X-Host、X-Original-Host 等非标准头。

微步产品支撑

微步漏洞情报于2026-04-11收录该漏洞。

微步下一代威胁情报平台NGTIP及X情报社区已于漏洞收录时向漏洞订阅用户推送该漏洞情报，并将持续推送后续更新；对于已经录入资产的用户，支持实时自动化排查受影响资产。

微步威胁感知平台TDP已于20260414支持检测，检测ID：S3100174564，模型/规则高于：20260414000000可检出。

• END –

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：

• 提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；
• 可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；
• 提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；
• 将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码在线沟通

↓↓↓

点此电话咨询

X漏洞奖励计划

“X漏洞奖励计划”是微步X情报社区推出的一款针对未公开漏洞的奖励计划，我们鼓励白帽子提交挖掘到的0day漏洞，并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力，提升0day防御能力，守护数字世界安全。

活动详情：https://x.threatbook.com/v5/vulReward

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线研究响应中心 微步情报局 微步情报局《Axios爆SSRF漏洞，特定条件下可导致RCE》