CVE-2026-44487
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 48 - wyżej niż 48% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Axios dla Node.js powoduje, że nagłówek Proxy-Authorization może zostać przekazany do docelowego serwera podczas przekierowań z proxy na bezpośrednie połączenie. Problem występuje w wersjach przed 0.32.0 i 1.16.0.
Ocena ryzyka
Organizacja ryzykuje wyciekiem poświadczeń proxy do nieuprawnionego serwera docelowego, co może prowadzić do nieautoryzowanego dostępu do zasobów proxy lub ataków typu man-in-the-middle.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę Axios do wersji 0.32.0 lub 1.16.0 w zależności od używanej gałęzi. W przypadku braku możliwości aktualizacji, tymczasowo wyłączyć obsługę przekierowań lub użyć alternatywnego klienta HTTP.
Oryginalny opis (angielski, źródło NVD)
Axios is a promise based HTTP client for the browser and Node.js. Prior to 0.32.0 and 1.16.0, Axios’s Node.js HTTP adapter may forward a Proxy-Authorization header to a redirected origin during specific proxy-to-direct redirect flows. This affects Node.js usage, where an initial HTTP request is sent through an authenticated HTTP proxy, redirects are followed, and the redirected URL is no longer proxied. Under affected redirect shapes, the final origin can receive the proxy credential that was intended only for the outbound proxy. This vulnerability is fixed in 0.32.0 and 1.16.0.

