PT-2026-44911 · Npm · Axios
Publicado
2026-05-29
·
Atualizado
2026-07-07
·
CVE-2026-44495
CVSS v3.1
7.0
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
Axios versões 0.19.0 até 0.31.0
Axios versões 1.x até 1.15.1
Descrição
O Axios contém gadgets de poluição de protótipo (prototype pollution) no processamento de configuração de requisições. Se outra vulnerabilidade no mesmo processo JavaScript permitir que um atacante polua o
Object.prototype.transformResponse, as versões afetadas podem tratar esse valor herdado como configuração de requisição ou como um validador de opção. Este problema não cria a poluição de protótipo por si só, mas atua como um gadget que requer o controle prévio do atacante sobre o Object.prototype antes que uma requisição seja criada.Detalhes técnicos incluem:
- Funções Vulneráveis: A função
mergeConfig()lê valores de configuração através de acesso padrão a propriedades, permitindo que propriedades ausentes na configuração da requisição recuem até oObject.prototype. A funçãotransformData()então executa a transformação selecionada com a configuração da requisição comothis. - Impacto: Se o
Object.prototype.transformResponsefor poluído com uma função, ela pode substituir o analisador de resposta JSON padrão. Isso permite que a função observe e exfiltre configurações sensíveis da requisição, comoauth(incluindousernameepassword), a URL da requisição e cabeçalhos, bem como os dados originais da resposta. Se for poluído com um valor que não seja uma função (por exemplo, um array), pode levar a uma negação de serviço (DoS) ao causar umTypeErrordurante a validação emvalidator.assertOptions().
Recomendações
Atualize o Axios para a versão 0.31.1 ou 1.15.2.
Como mitigação temporária, restrinja o uso da configuração
transformResponse ou garanta que nenhuma outra dependência na pilha da aplicação seja suscetível a poluição de protótipo.Exploit
Correção
Prototype Pollution
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Axios