CVE-2026-42044

Name of the Vulnerable Software and Affected Versions Axios versões 1.0.0 até 1.15.1

Description Axios é um cliente HTTP baseado em promessas para o navegador e Node.js. A biblioteca é suscetível a um ataque de Prototype Pollution Gadget. Isso ocorre porque a função transformResponse padrão chama JSON.parse(data, this.parseReviver), onde this é o objeto de configuração mesclado. Como parseReviver não está presente nos padrões, não é validado por assertOptions e não possui restrições, uma função Object.prototype.parseReviver poluída é executada para cada par chave-valor em cada resposta JSON. Isso permite que um invasor modifique seletivamente valores individuais em respostas de API JSON, o que pode levar a escalada de privilégios, manipulação de saldo e bypass de autorização.

Recommendations Atualize o Axios para a versão 1.15.2.