製品・ソフトウェアに関する情報

JVN脆弱性詳細

axios projectのaxiosにおける複数の脆弱性

Title	axios projectのaxiosにおける複数の脆弱性
Summary	AxiosはブラウザとNode.js向けのPromiseベースのHTTPクライアントです。バージョン1.0.0から1.16.0未満のAxiosライブラリは、Prototype Pollutionの"Gadget"攻撃に対して脆弱であり、アプリケーションの依存関係ツリーにおいて任意のObject.prototypeの汚染が発生すると、完全な中間者攻撃（MITM）にまでエスカレートされる可能性があります。これにより、認証情報を含むすべてのHTTPトラフィックを傍受、読み取り、改ざんすることが可能になります。lib/adapters/http.jsの670行目にあるHTTPアダプターは、標準のプロパティアクセスを通じてconfig.proxyを読み取りますが、この動作はプロトタイプチェーンを辿ります。proxyはAxiosのデフォルトには存在しないため、マージされたconfigオブジェクトには自身のproxyプロパティがなく、プロトタイプ汚染経由で容易に注入することが可能です。注入されると、setProxy()がすべてのHTTPリクエストを攻撃者のプロキシサーバー経由にルーティングします。この脆弱性はバージョン1.16.0で修正されました。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 11, 2026, midnight
Registration Date	June 15, 2026, 11:18 a.m.
Last Update	June 15, 2026, 11:18 a.m.

CVSS3.0 : 重要
Score	8.7
Vector	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

Affected System

axios project

axios 1.0.0 以上 1.16.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44494	https://www.cve.org/CVERecord?id=CVE-2026-44494
National Vulnerability Database (NVD)
2	CVE-2026-44494	https://nvd.nist.gov/vuln/detail/CVE-2026-44494

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-1321	https://cwe.mitre.org/data/definitions/1321.html
2	CWE-441	https://cwe.mitre.org/data/definitions/441.html

ベンダー情報

No	Name	URL
GitHub
1	Prototype Pollution Gadget in Axios Node Proxy Handling Advisory axios/axios GitHub	https://github.com/axios/axios/security/advisories/GHSA-35jp-ww65-95wh

Change Log

No	Changed Details	Date of change
1	[2026年06月15日] 掲載	June 15, 2026, 11:18 a.m.

NVD Vulnerability Information

CVE-2026-44494

Summary	Axios is a promise based HTTP client for the browser and Node.js. From 1.0.0 to before 1.16.0, the Axios library is vulnerable to a Prototype Pollution "Gadget" attack that allows any Object.prototype pollution in the application's dependency tree to be escalated into a full Man-in-the-Middle (MITM) attack — intercepting, reading, and modifying all HTTP traffic including authentication credentials. The HTTP adapter at lib/adapters/http.js:670 reads config.proxy via standard property access, which traverses the prototype chain. Because proxy is not present in Axios defaults, the merged config object has no own proxy property, making it trivially injectable via prototype pollution. Once injected, setProxy() routes all HTTP requests through the attacker's proxy server. This vulnerability is fixed in 1.16.0.
Publication Date	June 12, 2026, 2:16 a.m.
Registration Date	June 12, 2026, 4:18 a.m.
Last Update	June 13, 2026, 3:01 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:axios:axios::::::node.js::*		1.0.0			1.16.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/axios/axios/security/advisories/GHSA-35jp-ww65-95wh	security-advisories@github.com
2	https://github.com/axios/axios/security/advisories/GHSA-35jp-ww65-95wh	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-441	フィルタリング回避	https://cwe.mitre.org/data/definitions/441.html
2	CWE-1321	オブジェクトプロトタイプ属性の不適切に制御された変更 (プロトタイプの汚染)	https://cwe.mitre.org/data/definitions/1321.html