人気のあるAxios HTTPクライアントライブラリで新たに発見された重大な脆弱性により、無数のウェブアプリケーションとクラウド環境がリモートコード実行(RCE)と完全なインフラストラクチャの侵害の可能性にさらされています。
CVE-2026-40175として追跡され、この欠陥はCVSS 3.1スコア9.9を持ち、重大なレベルの脅威としてマークされています。
アドバイザリによると、攻撃者はこの脆弱性を悪用してAWS IMDSv2保護をバイパスし、クラウド環境から機密メタデータと認証情報を流出させることができます。
この問題は、セキュリティ研究者Raulvdvによって発見され、その後Jasonssaymanによって公開されました。開示直後、実世界のクラウド悪用シナリオを示すパブリック概念実証(PoC)がオンラインでリリースされました。
このPoCの公開により、開発者が直ちに緩和措置を適用する緊急性が高まります。
この脆弱性は、制限されないヘッダー処理と適切な入力サニタイゼーション(CWE-113)の欠如に由来します。
サーバー側リクエスト偽造(SSRF)(CWE-918)およびHTTPリクエストスマグリング(CWE-444)と組み合わせると、「ガジェット攻撃チェーン」と呼ばれることもある非常に危険な攻撃チェーンを形成します。
典型的な入力ベースのエクスプロイトとは異なり、この脆弱性は直接的なユーザーインタラクションを必要としません。代わりに、攻撃者はJavaScript プロトタイプポルーションを通じてそれを悪用することができます。
body-parser、qs、minimistなどの依存パッケージのいずれかがObject.prototypeを汚染する場合、Axiosはリクエスト作成中にこれらの汚染されたプロパティを設定に自動的にマージします。
影響を受けるAxiosバージョンはキャリッジリターンと改行(CRLF)文字の値をサニタイズできないため、マージされたプロパティはHTTPリクエストスマグリング攻撃を実行することができる悪意のあるヘッダーペイロードになります。
PoCは、一見無害な送信リクエストがどのようにハイジャックされるかを示しています。Axiosが汚染されたプロパティ(例えば、x-amz-target)をヘッダーにマージすると、これらのヘッダーは検証なしでソケットに書き込まれます。
このチェーンを通じて、攻撃者はIAMセッショントークンを盗み、特権をエスカレートし、ターゲットのクラウド環境を完全に制御することができます。
追加の影響には、認証バイパス、キャッシュポイズニング、およびコンテナ化またはサーバーレスインフラストラクチャ内での潜在的なRCEが含まれます。
1.13.2以前のすべてのAxiosバージョンは、この攻撃チェーンに対して脆弱であることが確認されています。本番環境でAxiosを使用している開発者および組織は、直ちにバージョン1.15.0以降にアップグレードすることを強くお勧めします。
パッチ適用されたバージョンは、厳密なヘッダー検証を強制し、無効なCRLFシーケンスを含む入力をすべて拒否します。
これにより、悪意のあるヘッダーがソケットに書き込まれることがなくなり、プロトタイプポルーションベースのリクエストスマグリング試行を効果的にブロックできます。
セキュリティチームは、プロトタイプポルーション攻撃ベクトルの可能性について第三者の依存関係も監査し、脆弱なnpmパッケージを監視するために依存スキャンツールを実装する必要があります。
翻訳元: https://cyberpress.org/axios-vulnerability-3/
