CVE-2026-44488
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 46 - wyżej niż 46% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Axios w wersjach 1.7.0 do 1.15.x powoduje, że skonfigurowane limity rozmiaru żądań i odpowiedzi (maxContentLength, maxBodyLength) nie są egzekwowane przy użyciu adaptera fetch. Oznacza to, że aplikacje korzystające z adaptera fetch mogą przetwarzać zbyt duże dane, co prowadzi do wyczerpania zasobów.
Ocena ryzyka
Ryzyko polega na możliwości wyczerpania zasobów serwera (np. pamięci) przez atakującego, który może wysłać nadmiernie duże żądanie lub odpowiedź, omijając limity zabezpieczające. Może to prowadzić do odmowy usługi (DoS) w środowiskach serwerowych.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę Axios do wersji 0.32.0 lub 1.16.0, które zawierają poprawkę. Jeśli aktualizacja nie jest możliwa, tymczasowo unikaj używania adaptera fetch lub ręcznie waliduj rozmiary danych przed przekazaniem ich do Axios.
Oryginalny opis (angielski, źródło NVD)
Axios is a promise based HTTP client for the browser and Node.js. Axios versions 1.7.0 through 1.15.x did not enforce configured request and response size limits when requests were sent with the fetch adapter. Applications that selected adapter: 'fetch', or ran in environments where axios resolved to the fetch adapter, could receive or send bodies larger than maxContentLength or maxBodyLength despite those limits being explicitly configured. This can cause resource exhaustion in server-side usage when a malicious or compromised server returns an oversized response, when an attacker can supply a large data: URL, or when an application forwards attacker-controlled request bodies through axios while relying on maxBodyLength as a boundary. This vulnerability is fixed in 0.32.0 and 1.16.0.

