CVE-2026-42264

Nome do Software Vulnerável e Versões Afetadas Axios versões 1.0.0 até 1.15.1

Descrição O Axios é um cliente HTTP baseado em promessas para o navegador e Node.js. O adaptador HTTP lê cinco propriedades de configuração—auth, baseURL, socketPath, beforeRedirect e insecureHTTPParser—através de acesso direto a propriedades sem a utilização de guardas hasOwnProperty. Isso permite que essas propriedades atuem como gadgets de poluição de protótipo (prototype pollution). Se o Object.prototype for poluído por outra dependência no mesmo processo, o Axios utilizará silenciosamente esses valores poluídos em cada requisição HTTP de saída. A poluição de protótipo é uma vulnerabilidade onde um invasor pode manipular o protótipo de um objeto base, levando à injeção de propriedades em todos os objetos que herdam desse protótipo.

Recomendações Atualizar para a versão 1.15.2.