Axios-vedlikeholder Jason Saayman publiserte fredag en proof-of-concept for CVE-2026-40175, en kritisk sårbarhet i HTTP-klienten som ble lastet ned over tre milliarder ganger i fjor. Ifølge The Stack er Axios til stede i rundt 80 prosent av sky- og kodemiljøer.
Sårbarheten utnytter manglende sanitering av HTTP-headere kombinert med prototype pollution. Hvis en angriper allerede har kompromittert applikasjonens tilstand via prototype pollution i et annet bibliotek — som qs, minimist eller body-parser — kan Axios brukes som en «gadget» for å smugle uautoriserte HTTP-forespørsler til interne tjenester.
«Fordi Axios ikke saniterer sammenslåtte header-verdier for CRLF-tegn, blir den forurensede egenskapen et Request Smuggling-payload» — Jason Saayman, Axios-vedlikeholder
Det mest alvorlige scenarioet er bypass av AWS IMDSv2 (Instance Metadata Service), som kan gi angripere tilgang til midlertidige AWS-credentials og dermed full sky-kompromittering. Netlas estimerer at rundt 48 000 instanser kan være direkte eksponert.
Hva bør du gjøre?
- Oppdater Axios til versjon 1.15.0 eller nyere, som legger til validering av CRLF-tegn i headere.
- Sjekk om du har biblioteker med kjente prototype pollution-sårbarheter i avhengighetstreet ditt, spesielt
qs,minimist,iniogbody-parser. - Bruk
Object.freeze(Object.prototype)i sikkerhetskritiske miljøer som en midlertidig beskyttelse hvis du ikke kan oppdatere umiddelbart.
Bakgrunn
Sårbarheten er ikke relatert til det nylige Axios supply chain-angrepet, der Saayman selv ble hacket etter et sofistikert sosialt manipulasjonsangrep tilskrevet nordkoreanske aktører. CVE-2026-40175 ble oppdaget under en sikkerhetsgjennomgang i etterkant av det angrepet.