- 27,382
- 46
- 8 Ноя 2022
PoC уже на GitHub, патч уже есть.
Уязвимость в библиотеке Axios может помочь атакующему довести загрязнение прототипа в сторонних зависимостях до удаленного выполнения кода и компрометации облачной среды. Проблема получила идентификатор CVE-2026-40175, а 10 апреля 2026 года сведения о ней стали публичными.
По данным «СайберОК» , в Рунете доступно до 20 000 активных хостов, и около 39% содержат потенциально уязвимые версии Axios. При этом фактическое распространение может быть заметно шире, поскольку библиотека часто используется внутри микросервисов и контейнеров.
Сценарий атаки строится как цепочка. Сначала злоумышленник загрязняет <code>Object.prototype</code> через уязвимые зависимости, среди которых упоминаются <code>qs</code>, <code>minimist</code> и <code>body-parser</code>. Затем Axios наследует загрязненные свойства и добавляет их в заголовки без проверки символов перевода строки. Такой механизм открывает путь к CRLF-инъекции, внедрению произвольных заголовков и разделению HTTP-запросов.
Дальше цепочка может привести к обращению к AWS IMDS. Через инъекцию и перенаправление запросов атакующий способен отправить PUT-запрос для получения токена, а затем прочитать метаданные. В результате появляется доступ к IAM-токенам и возможность повысить привилегии в облачной инфраструктуре.
Под угрозой находятся все версии Axios ниже 1.15.0. На GitHub уже опубликованы два публичных PoC. Причиной проблемы названо отсутствие валидации символов CR и LF в <code>AxiosHeaders.set</code> из файла <code>lib/core/AxiosHeaders.js</code>. Исправление добавляет проверку через <code>assertValidHeaderValue</code>.
Уровень опасности для CVE-2026-40175 оценили как критический. В одних источниках уязвимость получила 10,0 балла по CVSS 3.1, в других указана оценка 9,9.
В числе возможных индикаторов атаки названы аномальные PUT-запросы к адресу <code>169.254.169.254</code>, попытки манипуляции через <code>__proto__</code> или <code>constructor.prototype</code> в HTTP-запросах и журналах WAF, а также CRLF-инъекции с последовательностями <code>%0d%0a</code> и <code>\r\n</code>. Дополнительными признаками могут стать использование IAM-токенов с чужих IP-адресов, ошибки разбора заголовков и HTTP 500 в логах Node.js-сервисов.
Для снижения риска рекомендуется обновить Axios до версии 1.15.0, проверить зависимости на Prototype Pollution с помощью <code>npm audit</code> и SCA-инструментов, ограничить доступ к <code>169.254.169.254</code> через сетевые политики или Security Groups, а также настроить WAF на обнаружение <code>__proto__</code> и CRLF-инъекций на входе.
Уязвимость в библиотеке Axios может помочь атакующему довести загрязнение прототипа в сторонних зависимостях до удаленного выполнения кода и компрометации облачной среды. Проблема получила идентификатор CVE-2026-40175, а 10 апреля 2026 года сведения о ней стали публичными.
По данным «СайберОК» , в Рунете доступно до 20 000 активных хостов, и около 39% содержат потенциально уязвимые версии Axios. При этом фактическое распространение может быть заметно шире, поскольку библиотека часто используется внутри микросервисов и контейнеров.
Сценарий атаки строится как цепочка. Сначала злоумышленник загрязняет <code>Object.prototype</code> через уязвимые зависимости, среди которых упоминаются <code>qs</code>, <code>minimist</code> и <code>body-parser</code>. Затем Axios наследует загрязненные свойства и добавляет их в заголовки без проверки символов перевода строки. Такой механизм открывает путь к CRLF-инъекции, внедрению произвольных заголовков и разделению HTTP-запросов.
Дальше цепочка может привести к обращению к AWS IMDS. Через инъекцию и перенаправление запросов атакующий способен отправить PUT-запрос для получения токена, а затем прочитать метаданные. В результате появляется доступ к IAM-токенам и возможность повысить привилегии в облачной инфраструктуре.
Под угрозой находятся все версии Axios ниже 1.15.0. На GitHub уже опубликованы два публичных PoC. Причиной проблемы названо отсутствие валидации символов CR и LF в <code>AxiosHeaders.set</code> из файла <code>lib/core/AxiosHeaders.js</code>. Исправление добавляет проверку через <code>assertValidHeaderValue</code>.
Уровень опасности для CVE-2026-40175 оценили как критический. В одних источниках уязвимость получила 10,0 балла по CVSS 3.1, в других указана оценка 9,9.
В числе возможных индикаторов атаки названы аномальные PUT-запросы к адресу <code>169.254.169.254</code>, попытки манипуляции через <code>__proto__</code> или <code>constructor.prototype</code> в HTTP-запросах и журналах WAF, а также CRLF-инъекции с последовательностями <code>%0d%0a</code> и <code>\r\n</code>. Дополнительными признаками могут стать использование IAM-токенов с чужих IP-адресов, ошибки разбора заголовков и HTTP 500 в логах Node.js-сервисов.
Для снижения риска рекомендуется обновить Axios до версии 1.15.0, проверить зависимости на Prototype Pollution с помощью <code>npm audit</code> и SCA-инструментов, ограничить доступ к <code>169.254.169.254</code> через сетевые политики или Security Groups, а также настроить WAF на обнаружение <code>__proto__</code> и CRLF-инъекций на входе.
- Источник новости
- www.securitylab.ru
