| タイトル | axios projectのaxiosにおける複数の脆弱性 |
|---|---|
| 概要 | AxiosはブラウザとNode.js向けのPromiseベースのHTTPクライアントです。バージョン1.15.1および0.31.1より前のAxiosライブラリには、Prototype Pollution(プロトタイプ汚染)による「ガジェット」攻撃の脆弱性が存在しており、これにより任意のObject.prototypeが汚染されると、HTTPエラー応答(401、403、500など)を静かに抑制して、それらを成功応答として扱うようになります。これにより、アプリケーションレベルの認証およびエラー処理を完全に回避されてしまいます。問題の根本原因は、validateStatusが唯一mergeDirectKeysマージ戦略を使用する設定プロパティであり、この戦略がJavaScriptのin演算子を使用していることにあります。このin演算子はプロトタイプチェーンを横断するため、Object.prototype.validateStatusが() = trueに汚染されると、すべてのHTTPステータスコードが成功として受け入れられてしまいます。この脆弱性はバージョン1.15.1および0.31.1で修正されています。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月24日0:00 |
| 登録日 | 2026年4月30日12:25 |
| 最終更新日 | 2026年4月30日12:25 |
| CVSS3.0 : 警告 | |
| スコア | 6.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
| axios project |
| axios 0.31.1 未満 |
| axios 1.0.0 以上 1.15.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
2026年4月30日12:25 |
| 概要 | Axios is a promise based HTTP client for the browser and Node.js. Prior to 1.15.1 and 0.31.1, the Axios library is vulnerable to a Prototype Pollution "Gadget" attack that allows any Object.prototype pollution to silently suppress all HTTP error responses (401, 403, 500, etc.), causing them to be treated as successful responses. This completely bypasses application-level authentication and error handling. The root cause is that validateStatus is the only config property using the mergeDirectKeys merge strategy, which uses JavaScript's in operator — an operator that inherently traverses the prototype chain. When Object.prototype.validateStatus is polluted with () => true, all HTTP status codes are accepted as success. This vulnerability is fixed in 1.15.1 and 0.31.1. |
|---|---|
| 公表日 | 2026年4月25日3:16 |
| 登録日 | 2026年4月25日4:08 |
| 最終更新日 | 2026年4月28日3:57 |