Katalog CVE

CVE-2026-42041

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.61%

Percentyl 45 - wyżej niż 45% wszystkich znanych CVE

Streszczenie

Biblioteka Axios przed wersjami 1.15.1 i 0.31.1 jest podatna na atak typu Prototype Pollution, który pozwala na wyciszenie wszystkich odpowiedzi HTTP z błędami (401, 403, 500 itp.), traktując je jako sukces. Przyczyną jest użycie operatora `in` w strategii scalania `mergeDirectKeys` dla właściwości `validateStatus`, co umożliwia przedostanie się zanieczyszczonego prototypu do logiki walidacji.

Ocena ryzyka

Atakujący może całkowicie ominąć mechanizmy uwierzytelniania i obsługi błędów aplikacji, powodując, że nieautoryzowane żądania lub błędy serwera są interpretowane jako poprawne odpowiedzi. Prowadzi to do naruszenia integralności danych i potencjalnego przejęcia kontroli nad aplikacją.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę Axios do wersji 1.15.1 lub 0.31.1 (w zależności od używanej gałęzi). Jeśli aktualizacja nie jest możliwa, należy zaimplementować własną walidację statusów odpowiedzi HTTP poza biblioteką.

Oryginalny opis (angielski, źródło NVD)

Axios is a promise based HTTP client for the browser and Node.js. Prior to 1.15.1 and 0.31.1, the Axios library is vulnerable to a Prototype Pollution "Gadget" attack that allows any Object.prototype pollution to silently suppress all HTTP error responses (401, 403, 500, etc.), causing them to be treated as successful responses. This completely bypasses application-level authentication and error handling. The root cause is that validateStatus is the only config property using the mergeDirectKeys merge strategy, which uses JavaScript's in operator — an operator that inherently traverses the prototype chain. When Object.prototype.validateStatus is polluted with () => true, all HTTP status codes are accepted as success. This vulnerability is fixed in 1.15.1 and 0.31.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS