CVE-2026-42035

Name of the Vulnerable Software and Affected Versions Axios versões anteriores a 1.15.1 Axios versões anteriores a 0.31.1

Description Um gadget de poluição de protótipo existe no adaptador HTTP localizado em 'lib/adapters/http.js'. Este problema ocorre devido à verificação de tipo (duck-type checking) do payload de dados. Se o Object.prototype for poluído com getHeaders, append, pipe, on, once e Symbol.toStringTag, o software identifica incorretamente payloads de objetos simples como instâncias de FormData. Isso permite que um invasor acione a função getHeaders() e injete cabeçalhos HTTP arbitrários em requisições de saída. O gatilho pode ser qualquer primitivo de poluição de protótipo dentro da árvore de dependências da aplicação, não necessariamente originado do próprio software.

Recommendations Atualizar para a versão 1.15.1 ou posterior. Atualizar para a versão 0.31.1 ou posterior.