製品・ソフトウェアに関する情報
Vulnerability Search
axios projectのaxiosにおける複数の脆弱性
Title axios projectのaxiosにおける複数の脆弱性
Summary

AxiosはブラウザおよびNode.js向けのPromiseベースのHTTPクライアントです。バージョン1.15.2から1.16.0未満において、utils.merge()によって作成されたネストされたオブジェクト(例:config.proxy)は依然としてチェーン内にObject.prototypeを持つ単純な{}として構築されます。lib/adapters/http.jsの209-223行にあるsetProxy()関数は、hasOwnPropertyチェックを行わずにproxy.username、proxy.password、およびproxy.authを読み取ります。Object.prototype.usernameが汚染されると、setProxy()は攻撃者が制御する認証情報を使用してProxy-Authorizationヘッダーを構築し、すべてのプロキシ経由のHTTPリクエストに注入します。この脆弱性はバージョン1.16.0で修正されました。

Possible impacts ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 11, 2026, midnight
Registration Date June 16, 2026, 1:37 p.m.
Last Update June 16, 2026, 1:37 p.m.
CVSS3.0 : 警告
Score 5.3
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Affected System
axios project
axios 1.15.2
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年06月16日]
  掲載		 June 16, 2026, 1:37 p.m.
NVD Vulnerability Information
CVE-2026-44489
Summary

Axios is a promise based HTTP client for the browser and Node.js. From 1.15.2 to before 1.16.0, nested objects created by utils.merge() (e.g., config.proxy) are still constructed as plain {} with Object.prototype in their chain. The setProxy() function at lib/adapters/http.js:209-223 reads proxy.username, proxy.password, and proxy.auth without hasOwnProperty checks. When Object.prototype.username is polluted, setProxy() constructs a Proxy-Authorization header with attacker-controlled credentials and injects it into every proxied HTTP request. This vulnerability is fixed in 1.16.0.

Publication Date June 12, 2026, 2:16 a.m.
Registration Date June 12, 2026, 4:18 a.m.
Last Update June 16, 2026, 1:13 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:axios:axios:1.15.2:*:*:*:*:node.js:*:*
Related information, measures and tools
Common Vulnerabilities List