PT-2026-32030 · Axios · Axios

CVE-2026-40175

·

Publicado

2026-04-09

·

Atualizado

2026-07-15

CVSS v3.1

10

Crítica

VetorAV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Name of the Vulnerable Software and Affected Versions axios versões anteriores a 1.15.0 axios versões anteriores a 0.3.1
Description A biblioteca axios é vulnerável a uma cadeia de ataque do tipo gadget, na qual a poluição de protótipo (prototype pollution) em qualquer dependência de terceiros pode ser escalada. Isso ocorre porque a biblioteca não sanitiza os valores dos cabeçalhos HTTP para caracteres de retorno de carro e alimentação de linha (CRLF), permitindo que um invasor injete requisições HTTP separadas. Isso pode levar ao contrabando de requisições (request smuggling), falsificação de requisição do lado do servidor (SSRF) e a evasão do AWS IMDSv2 para exfiltrar metadados da nuvem e credenciais IAM, resultando potencialmente em execução remota de código (RCE) ou comprometimento total da nuvem. O problema é particularmente arriscado ao usar adaptadores personalizados do axios ou configurações não padronizadas que ignoram a pilha HTTP padrão do Node.js, já que o runtime normalmente bloqueia a injeção de CRLF.
Recommendations Atualize o axios para a versão 1.15.0 ou superior. Atualize o axios para a versão 0.3.1 ou superior. Como medida paliativa temporária, restrinja o uso de adaptadores personalizados do axios ou construções manuais de requisições que ignorem a pilha HTTP padrão.

Exploit

Correção

LPE

RCE

HTTP Request/Response Smuggling

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-05270
CLEANSTART-2026-BE61221
CLEANSTART-2026-LC05413
CLEANSTART-2026-XR95601
CVE-2026-40175
GHSA-FVCV-3M26-PCQX
RHSA-2026:24762

Produtos afetados

Axios