Saayman

**Nome do Software Vulnerável e Versões Afetadas** Axios versões 1.15.2 a 1.15.9 **Description** Objetos aninhados criados pela função `merge()` em `utils.js` são construídos como objetos simples, o que significa que mantêm o `Object.prototype` em sua cadeia de protótipos. A função `setProxy()` em `lib/adapters/http.js` lê as propriedades `username`, `password` e `auth` do objeto `proxy` sem utilizar verificações de `hasOwnProperty`. Se o `Object.prototype.username` for poluído, a função `setProxy()` construirá um cabeçalho `Proxy-Authorization` usando credenciais controladas por um invasor e as injetará em cada requisição HTTP via proxy. Este problema é um bypass de correção de uma falha anterior que protegia apenas objetos de configuração de nível superior. **Recommendations** Atualize o Axios para a versão 1.16.0. Como medida paliativa temporária, evite usar a configuração de `proxy` nas versões afetadas até que a atualização seja aplicada.