CVE-2026-44496
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 47 - wyżej niż 47% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Axios przed wersjami 0.32.0 (linia 0.x) i 1.16.0 (linia 1.x) polega na braku escapowania znaków specjalnych wyrażeń regularnych w nazwie ciasteczka XSRF. Atakujący, który może wpłynąć na nazwę ciasteczka przekazywanego do Axios, może wywołać kosztowne cofanie się wyrażenia regularnego podczas odczytu document.cookie, co prowadzi do degradacji dostępności po stronie klienta.
Ocena ryzyka
Ryzyko dla organizacji polega na potencjalnym zamrożeniu karty przeglądarki użytkownika podczas przygotowywania żądania przez Axios, co może zakłócić działanie aplikacji webowej i obniżyć komfort pracy użytkowników. Podatność nie wpływa na środowiska Node.js, React Native ani web workerów.
Rekomendacja
Zaleca się natychmiastową aktualizację biblioteki Axios do wersji 0.32.0 lub nowszej (dla linii 0.x) oraz do wersji 1.16.0 lub nowszej (dla linii 1.x). W przypadku braku możliwości aktualizacji, należy unikać używania konfiguracji XSRF z nazwami ciasteczek pochodzącymi od użytkownika.
Oryginalny opis (angielski, źródło NVD)
Axios is a promise based HTTP client for the browser and Node.js. Axios versions before 0.32.0 on the 0.x line and before 1.16.0 on the 1.x line build a regular expression from the configured XSRF cookie name without escaping regex metacharacters. In standard browser environments, an attacker who can influence the cookie name passed to axios can cause expensive regex backtracking while axios reads document.cookie. The practical impact is client-side availability degradation, such as freezing the affected browser tab while axios prepares a request. The issue does not affect ordinary Node.js HTTP adapter usage, React Native, or web workers, where axios does not read document.cookie. This vulnerability is fixed in 0.32.0 and 1.16.0.

