CVE-2026-25639

Nome do Software Vulnerável e Versões Afetadas Axios versões anteriores a 0.30.3 Axios versões anteriores a 1.13.5

Descrição A função mergeConfig() no Axios falha com um TypeError ao processar objetos de configuração que contêm proto como uma propriedade própria. Isso ocorre porque, quando o proto está presente (por exemplo, quando criado via JSON.parse()), a função realiza uma busca na cadeia de protótipos que retorna Object.prototype em vez de uma função, causando a interrupção do sistema. Um invasor remoto pode explorar isso fornecendo um objeto de configuração malicioso, resultando em uma negação de serviço completa. Este problema afeta servidores Node.js e qualquer backend que passe JSON controlado pelo usuário para os métodos de configuração do Axios.

Recomendações Atualize para a versão 0.30.3 ou posterior. Atualize para a versão 1.13.5 ou posterior. Como medida paliativa temporária, evite passar entradas controladas pelo usuário diretamente para o objeto de configuração do Axios, garantindo especificamente que as entradas analisadas via JSON.parse() sejam validadas para remover a propriedade proto antes de serem processadas por mergeConfig().