| Title | axios projectのaxiosにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性 |
|---|---|
| Summary | AxiosはブラウザおよびNode.js向けのPromiseベースのHTTPクライアントです。バージョン1.15.1および0.31.1より前のバージョンでは、Object.prototypeがaxiosがhasOwnPropertyのガードなしに読み取るキーによって他の依存関係により汚染されている場合、攻撃者は(a)アプリケーションが受信する前にすべてのJSONレスポンスを密かに傍受および改ざんでき、または(b)基盤となるHTTPトランスポートを完全に乗っ取り、リクエストの資格情報、ヘッダー、ボディにアクセスできます。この前提条件として、同一プロセス内の別のソースによるプロトタイプ汚染が存在します。この脆弱性はバージョン1.15.1および0.31.1で修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 24, 2026, midnight |
| Registration Date | April 30, 2026, 12:25 p.m. |
| Last Update | April 30, 2026, 12:25 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.4 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
| axios project |
| axios 0.31.1 未満 |
| axios 1.0.0 以上 1.15.1 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
April 30, 2026, 12:25 p.m. |
| Summary | Axios is a promise based HTTP client for the browser and Node.js. Prior to 1.15.1 and 0.31.1, when Object.prototype has been polluted by any co-dependency with keys that axios reads without a hasOwnProperty guard, an attacker can (a) silently intercept and modify every JSON response before the application sees it, or (b) fully hijack the underlying HTTP transport, gaining access to request credentials, headers, and body. The precondition is prototype pollution from a separate source in the same process. This vulnerability is fixed in 1.15.1 and 0.31.1. |
|---|---|
| Publication Date | April 25, 2026, 3:16 a.m. |
| Registration Date | April 25, 2026, 4:08 a.m. |
| Last Update | April 28, 2026, 3:57 a.m. |