Node.js向けで最も人気のあるHTTPクライアントライブラリの一つであるAxiosに深刻なセキュリティ欠陥が発見され、攻撃者がサーバーをクラッシュさせ、サービス拒否(DoS)攻撃を引き起こせることが判明しました。
CVE-2026-25639として追跡されているこの脆弱性は、1.13.4を含むそれ以前のすべてのバージョンに影響します。
Axiosの脆弱性
この脆弱性は、HTTPリクエストを行う前に設定オブジェクトを処理するAxiosのmergeConfig関数を悪用します。
攻撃者がプロパティとして__proto__を含む特別に細工されたJSONオブジェクトを提供すると、ライブラリはJavaScriptのObject.prototypeを呼び出し可能な関数として扱おうとしてしまい、即座にクラッシュが発生します。
| 属性 | 詳細 |
|---|---|
| CVE ID | CVE-2026-25639 |
| 脆弱性タイトル | mergeConfigにおけるprotoキーによるサービス拒否 |
| パッケージ | axios(npm) |
| 影響を受けるバージョン | <= 1.13.4 |
| 修正済みバージョン | 1.13.5 |
| 深刻度 | 高 |
| CVSSスコア | 7.5 |
攻撃は驚くほど簡単です。攻撃者は、JSON入力を受け付けてそれをAxiosの設定メソッドに渡す任意のエンドポイントを通じて、{"__proto__": {"x": 1}}のような悪意あるペイロードを送るだけで済みます。
この脆弱性はlib/core/mergeConfig.jsの98〜101行目にある設定マージのロジックに存在し、処理前にプロパティ名を適切に検証できていないことが原因です。
これは、悪意あるコードが徐々にアプリケーションの挙動を汚染していく典型的なプロトタイプ汚染攻撃ではありません。
代わりに、悪意ある設定を処理した時点でサーバーが即座にクラッシュするため、強力なDoS手段となります。
ユーザーが制御できるJSONを受け取り、それをget()、post()、または他のHTTPショートカットなどのAxiosメソッドに渡すあらゆるNode.jsアプリケーションが脆弱になります。
AxiosはバックエンドサービスでAPI呼び出しに広く利用されているため、影響は多数のアプリケーションに及びます。
さらに詳しく
脆弱性評価ツール
サイバーセキュリティ
セキュリティ意識向上トレーニング
セキュリティ情報・イベント管理(SIEM)
データ侵害対策
サイバーセキュリティ研修コース
サイバーセキュリティ
脅威インテリジェンス・プラットフォーム
サイバー
不正検知ソフトウェア
攻撃者はこれを認証なしでリモートから悪用でき、成功する攻撃の実行に高度な技術はほとんど必要ありません。
共通脆弱性評価システム(CVSS)は、この脆弱性を深刻度「高」、スコア7.5/10と評価しています。
攻撃ベクターはネットワークベースで複雑性が低く、権限もユーザー操作も不要です。
機密性や完全性は侵害しないものの、アプリケーションをクラッシュさせることで可用性を完全に損ないます。
セキュリティ研究者のhackerman70000がこの脆弱性を発見し報告しました。Axiosチームは、設定オブジェクト内の異常なプロパティ名に対する適切なチェックを実装することで欠陥を修正したバージョン1.13.5をリリースし、対応しました。
Axiosを使用している開発者は、直ちにバージョン1.13.5へアップグレードする必要があります。
組織はコードベースを監査して、ユーザー入力がAxiosの設定パラメータに流れ込む箇所がないかを特定し、すべての本番環境で更新版が展開されていることを確認すべきです。
翻訳元: https://gbhackers.com/axios-vulnerability-allows-attackers-to-trigger-dos/
