製品・ソフトウェアに関する情報

JVN脆弱性詳細

axios projectのaxiosにおける複数の脆弱性

Title	axios projectのaxiosにおける複数の脆弱性
Summary	AxiosはブラウザとNode.js向けのPromiseベースのHTTPクライアントです。バージョン1.15.1および0.31.1より前のAxiosライブラリには、Prototype Pollution（プロトタイプ汚染）による「ガジェット」攻撃の脆弱性が存在しており、これにより任意のObject.prototypeが汚染されると、HTTPエラー応答（401、403、500など）を静かに抑制して、それらを成功応答として扱うようになります。これにより、アプリケーションレベルの認証およびエラー処理を完全に回避されてしまいます。問題の根本原因は、validateStatusが唯一mergeDirectKeysマージ戦略を使用する設定プロパティであり、この戦略がJavaScriptのin演算子を使用していることにあります。このin演算子はプロトタイプチェーンを横断するため、Object.prototype.validateStatusが() = trueに汚染されると、すべてのHTTPステータスコードが成功として受け入れられてしまいます。この脆弱性はバージョン1.15.1および0.31.1で修正されています。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 24, 2026, midnight
Registration Date	April 30, 2026, 12:25 p.m.
Last Update	April 30, 2026, 12:25 p.m.

CVSS3.0 : 警告
Score	6.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Affected System

axios project

axios 0.31.1 未満

axios 1.0.0 以上 1.15.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-42041	https://www.cve.org/CVERecord?id=CVE-2026-42041
National Vulnerability Database (NVD)
2	CVE-2026-42041	https://nvd.nist.gov/vuln/detail/CVE-2026-42041

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-1321	https://cwe.mitre.org/data/definitions/1321.html
2	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	Name	URL
GitHub
1	Authentication Bypass via Prototype Pollution Gadget in `validateStatus` Merge Strategy Advisory axios/axios GitHub	https://github.com/axios/axios/security/advisories/GHSA-w9j2-pvgh-6h63

Change Log

No	Changed Details	Date of change
1	[2026年04月30日] 掲載	April 30, 2026, 12:25 p.m.

NVD Vulnerability Information

CVE-2026-42041

Summary	Axios is a promise based HTTP client for the browser and Node.js. Prior to 1.15.1 and 0.31.1, the Axios library is vulnerable to a Prototype Pollution "Gadget" attack that allows any Object.prototype pollution to silently suppress all HTTP error responses (401, 403, 500, etc.), causing them to be treated as successful responses. This completely bypasses application-level authentication and error handling. The root cause is that validateStatus is the only config property using the mergeDirectKeys merge strategy, which uses JavaScript's in operator — an operator that inherently traverses the prototype chain. When Object.prototype.validateStatus is polluted with () => true, all HTTP status codes are accepted as success. This vulnerability is fixed in 1.15.1 and 0.31.1.
Publication Date	April 25, 2026, 3:16 a.m.
Registration Date	April 25, 2026, 4:08 a.m.
Last Update	April 28, 2026, 3:57 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/axios/axios/security/advisories/GHSA-w9j2-pvgh-6h63	security-advisories@github.com
2	https://github.com/axios/axios/security/advisories/GHSA-w9j2-pvgh-6h63	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-287	不適切な認証	https://cwe.mitre.org/data/definitions/287.html
2	CWE-1321	オブジェクトプロトタイプ属性の不適切に制御された変更 (プロトタイプの汚染)	https://cwe.mitre.org/data/definitions/1321.html