surri/audit-axios

# audit-axios 扫描本地仓库中易受攻击的 axios 版本并交互式修复。 目标 [**CVE-2026-40175**](https://github.com/axios/axios/security/advisories/GHSA-fvcv-3m26-pcqx) —— CRLF 标头注入导致请求走私与 SSRF。CVSS 9.9，影响所有 axios < 1.15.0 的版本。 ## 快速开始 ``` npx audit-axios ~/Workspace ~/Projects ``` ## 用法 ``` # 交互式 — 复选框选择 + 批量操作 audit-axios ~/Workspace ~/Projects # 仅扫描（CI友好，发现漏洞时退出代码为 1） audit-axios --scan-only ~/Workspace # 自动修补所有内容 audit-axios --auto-patch ~/Workspace ~/Projects # 自定义最低版本 audit-axios --min-version 1.16.0 --target "^1.16.0" ~/Workspace ``` ## 交互式控制 | 按键 | 操作 | |------|------| | `space` | 切换选择/取消选择 | | `a` | 全选 | | `n` | 取消全选 | | `j/k` 或方向键 | 导航 | | `enter` | 确认 → 选择操作 | | `q` | 退出 | ## 选项 | 标志 | 描述 | 默认值 | |------|------|--------| | `--scan-only` | 仅报告，不提示 | — | | `--auto-patch` | 无提示修补所有 | — | | `--min-version` | 最小安全版本 | `1.15.0` | | `--target` | 目标版本规范 | `^1.15.0` | | `--include-all` | 包含 IDE 扩展、缓存和系统目录 | — | ## 默认忽略项 IDE 扩展（`.vscode`、`.cursor`、`.kiro` 等）、包缓存（`.npm`、`.yarn`）和系统目录默认不包含在扫描中。如需包含，请使用 `--include-all`。 `node_modules` 和 `.git` **始终**被排除 —— 嵌套依赖应通过 [overrides/resolutions](https://docs.npmjs.com/cli/v10/configuring-npm/package-json#overrides) 修复，而不是直接修补。 ## 功能特性 - 零依赖 —— 仅使用 Node.js 内置模块 - 自动检测 npm、yarn、pnpm（包括 `packageManager` 字段） - 单体工作区感知（pnpm-workspace.yaml、yarn workspaces） - 可滚动的复选框 UI，支持批量操作 - 严重性标签（CRITICAL / HIGH / MEDIUM），基于版本差距 - CI 模式（`--scan-only`），发现漏洞时以退出码 1 退出 ## 许可证 MIT

标签：axios, CI友好, CMS安全, CRLF注入, CVE-2026-40175, GNU通用公共许可证, JavaScript, MITM代理, monorepo, Node.js, Node.js内置模块, npm, pnpm, SEO: axios 漏洞, SEO: 依赖审计, SEO: 安全扫描, SSRF, yarn, 交互式补丁, 仓库扫描, 依赖漏洞扫描, 前端安全, 单页面应用, 工作区感知, 批量操作, 最小版本控制, 漏洞修复, 网络安全培训, 自动打补丁, 自定义脚本, 请求走私, 零依赖