Katalog CVE

CVE-2026-44487

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.69%

Percentyl 48 - wyżej niż 48% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Axios dla Node.js powoduje, że nagłówek Proxy-Authorization może zostać przekazany do docelowego serwera podczas przekierowań z proxy na bezpośrednie połączenie. Problem występuje w wersjach przed 0.32.0 i 1.16.0.

Ocena ryzyka

Organizacja ryzykuje wyciekiem poświadczeń proxy do nieuprawnionego serwera docelowego, co może prowadzić do nieautoryzowanego dostępu do zasobów proxy lub ataków typu man-in-the-middle.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę Axios do wersji 0.32.0 lub 1.16.0 w zależności od używanej gałęzi. W przypadku braku możliwości aktualizacji, tymczasowo wyłączyć obsługę przekierowań lub użyć alternatywnego klienta HTTP.

Oryginalny opis (angielski, źródło NVD)

Axios is a promise based HTTP client for the browser and Node.js. Prior to 0.32.0 and 1.16.0, Axios’s Node.js HTTP adapter may forward a Proxy-Authorization header to a redirected origin during specific proxy-to-direct redirect flows. This affects Node.js usage, where an initial HTTP request is sent through an authenticated HTTP proxy, redirects are followed, and the redirected URL is no longer proxied. Under affected redirect shapes, the final origin can receive the proxy credential that was intended only for the outbound proxy. This vulnerability is fixed in 0.32.0 and 1.16.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS