PT-2026-44911 · Npm · Axios

Publicado

2026-05-29

·

Atualizado

2026-07-07

·

CVE-2026-44495

CVSS v3.1

7.0

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L
Nome do Software Vulnerável e Versões Afetadas Axios versões 0.19.0 até 0.31.0 Axios versões 1.x até 1.15.1
Descrição O Axios contém gadgets de poluição de protótipo (prototype pollution) no processamento de configuração de requisições. Se outra vulnerabilidade no mesmo processo JavaScript permitir que um atacante polua o Object.prototype.transformResponse, as versões afetadas podem tratar esse valor herdado como configuração de requisição ou como um validador de opção. Este problema não cria a poluição de protótipo por si só, mas atua como um gadget que requer o controle prévio do atacante sobre o Object.prototype antes que uma requisição seja criada.
Detalhes técnicos incluem:
  • Funções Vulneráveis: A função mergeConfig() lê valores de configuração através de acesso padrão a propriedades, permitindo que propriedades ausentes na configuração da requisição recuem até o Object.prototype. A função transformData() então executa a transformação selecionada com a configuração da requisição como this.
  • Impacto: Se o Object.prototype.transformResponse for poluído com uma função, ela pode substituir o analisador de resposta JSON padrão. Isso permite que a função observe e exfiltre configurações sensíveis da requisição, como auth (incluindo username e password), a URL da requisição e cabeçalhos, bem como os dados originais da resposta. Se for poluído com um valor que não seja uma função (por exemplo, um array), pode levar a uma negação de serviço (DoS) ao causar um TypeError durante a validação em validator.assertOptions().
Recomendações Atualize o Axios para a versão 0.31.1 ou 1.15.2. Como mitigação temporária, restrinja o uso da configuração transformResponse ou garanta que nenhuma outra dependência na pilha da aplicação seja suscetível a poluição de protótipo.

Exploit

Correção

Prototype Pollution

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-44495
GHSA-3G43-6GMG-66JW
RHSA-2026:34160

Produtos afetados

Axios