Katalog CVE

CVE-2026-44486

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.55%

Percentyl 42 - wyżej niż 42% wszystkich znanych CVE

Streszczenie

W bibliotece Axios dla Node.js wykryto podatność polegającą na wycieku poświadczeń proxy do docelowego serwera po przekierowaniu. Gdy żądanie jest wysyłane przez uwierzytelnione proxy, nagłówek Proxy-Authorization może pozostać w przekierowanym żądaniu i zostać wysłany do nowego celu.

Ocena ryzyka

Organizacja ryzykuje ujawnieniem poświadczeń proxy (np. nazwy użytkownika i hasła) nieuprawnionym stronom, co może prowadzić do nieautoryzowanego dostępu do zasobów lub dalszych ataków.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Axios do wersji 0.32.0 lub 1.16.0 (w zależności od używanej gałęzi) w środowiskach Node.js korzystających z automatycznych przekierowań i uwierzytelnionego proxy.

Oryginalny opis (angielski, źródło NVD)

Axios is a promise based HTTP client for the browser and Node.js. Prior to 0.32.0 and 1.16.0, Axios’ Node.js HTTP adapter can leak proxy credentials to a redirect target in affected versions. When a request is sent through an authenticated proxy, Axios may add a Proxy-Authorization header. If Axios then follows a redirect and the redirected request is no longer sent through that proxy, the stale Proxy-Authorization header can remain on the redirected request and be sent to the redirect target. This affects Node.js's use of Axios with automatic redirects enabled and an authenticated proxy configuration. Browser adapters are not affected. This vulnerability is fixed in 0.32.0 and 1.16.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS