| タイトル | axios projectのaxiosにおける複数の脆弱性 |
|---|---|
| 概要 | AxiosはブラウザおよびNode.js向けのPromiseベースのHTTPクライアントです。バージョン1.15.2から1.16.0未満において、utils.merge()によって作成されたネストされたオブジェクト(例:config.proxy)は依然としてチェーン内にObject.prototypeを持つ単純な{}として構築されます。lib/adapters/http.jsの209-223行にあるsetProxy()関数は、hasOwnPropertyチェックを行わずにproxy.username、proxy.password、およびproxy.authを読み取ります。Object.prototype.usernameが汚染されると、setProxy()は攻撃者が制御する認証情報を使用してProxy-Authorizationヘッダーを構築し、すべてのプロキシ経由のHTTPリクエストに注入します。この脆弱性はバージョン1.16.0で修正されました。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月11日0:00 |
| 登録日 | 2026年6月16日13:37 |
| 最終更新日 | 2026年6月16日13:37 |
| CVSS3.0 : 警告 | |
| スコア | 5.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
| axios project |
| axios 1.15.2 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月16日] 掲載 |
2026年6月16日13:37 |
| 概要 | Axios is a promise based HTTP client for the browser and Node.js. From 1.15.2 to before 1.16.0, nested objects created by utils.merge() (e.g., config.proxy) are still constructed as plain {} with Object.prototype in their chain. The setProxy() function at lib/adapters/http.js:209-223 reads proxy.username, proxy.password, and proxy.auth without hasOwnProperty checks. When Object.prototype.username is polluted, setProxy() constructs a Proxy-Authorization header with attacker-controlled credentials and injects it into every proxied HTTP request. This vulnerability is fixed in 1.16.0. |
|---|---|
| 公表日 | 2026年6月12日2:16 |
| 登録日 | 2026年6月12日4:18 |
| 最終更新日 | 2026年6月16日1:13 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:axios:axios:1.15.2:*:*:*:*:node.js:*:* | |||||