CVE-2026-44489

Nome do Software Vulnerável e Versões Afetadas Axios versões 1.15.2 a 1.15.9

Description Objetos aninhados criados pela função merge() em utils.js são construídos como objetos simples, o que significa que mantêm o Object.prototype em sua cadeia de protótipos. A função setProxy() em lib/adapters/http.js lê as propriedades username, password e auth do objeto proxy sem utilizar verificações de hasOwnProperty. Se o Object.prototype.username for poluído, a função setProxy() construirá um cabeçalho Proxy-Authorization usando credenciais controladas por um invasor e as injetará em cada requisição HTTP via proxy. Este problema é um bypass de correção de uma falha anterior que protegia apenas objetos de configuração de nível superior.

Recommendations Atualize o Axios para a versão 1.16.0. Como medida paliativa temporária, evite usar a configuração de proxy nas versões afetadas até que a atualização seja aplicada.