製品・ソフトウェアに関する情報

JVN脆弱性詳細

axios projectのaxiosにおける複数の脆弱性

Title	axios projectのaxiosにおける複数の脆弱性
Summary	AxiosはブラウザとNode.js向けのPromiseベースのHTTPクライアントです。0.x系の0.32.0未満および1.x系の1.16.0未満のAxiosバージョンでは、設定されたXSRFクッキー名から正規表現を作成する際に、正規表現のメタキャラクターをエスケープしていません。標準的なブラウザ環境において、axiosに渡されるクッキー名を操作できる攻撃者は、axiosがdocument.cookieを読み込む際に高コストな正規表現のバックトラッキングを引き起こす可能性があります。実際の影響としてはクライアント側の可用性が低下し、axiosがリクエストを準備している間に該当のブラウザタブがフリーズするなどの問題が発生します。この問題は、通常のNode.js HTTPアダプターの使用、React Native、およびaxiosがdocument.cookieを読み込まないWebワーカーには影響を与えません。この脆弱性は0.32.0および1.16.0で修正されています。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 11, 2026, midnight
Registration Date	June 15, 2026, 11:18 a.m.
Last Update	June 15, 2026, 11:18 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Affected System

axios project

axios 0.32.0 未満

axios 1.0.0 以上 1.16.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44496	https://www.cve.org/CVERecord?id=CVE-2026-44496
National Vulnerability Database (NVD)
2	CVE-2026-44496	https://nvd.nist.gov/vuln/detail/CVE-2026-44496

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-1333	https://cwe.mitre.org/data/definitions/1333.html
2	CWE-400	https://cwe.mitre.org/data/definitions/400.html

ベンダー情報

No	Name	URL
GitHub
1	Regular Expression Denial of Service (ReDoS) via Cookie Name Injection Advisory axios/axios GitHub	https://github.com/axios/axios/security/advisories/GHSA-hfxv-24rg-xrqf

Change Log

No	Changed Details	Date of change
1	[2026年06月15日] 掲載	June 15, 2026, 11:18 a.m.

NVD Vulnerability Information

CVE-2026-44496

Summary	Axios is a promise based HTTP client for the browser and Node.js. Axios versions before 0.32.0 on the 0.x line and before 1.16.0 on the 1.x line build a regular expression from the configured XSRF cookie name without escaping regex metacharacters. In standard browser environments, an attacker who can influence the cookie name passed to axios can cause expensive regex backtracking while axios reads document.cookie. The practical impact is client-side availability degradation, such as freezing the affected browser tab while axios prepares a request. The issue does not affect ordinary Node.js HTTP adapter usage, React Native, or web workers, where axios does not read document.cookie. This vulnerability is fixed in 0.32.0 and 1.16.0.
Publication Date	June 12, 2026, 2:16 a.m.
Registration Date	June 12, 2026, 4:18 a.m.
Last Update	June 13, 2026, 3 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:axios:axios::::::node.js::*				0.32.0
cpe:2.3:a:axios:axios::::::node.js::*	1.0.0			1.16.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/axios/axios/security/advisories/GHSA-hfxv-24rg-xrqf	security-advisories@github.com
2	https://github.com/axios/axios/security/advisories/GHSA-hfxv-24rg-xrqf	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html
2	CWE-1333	非効率的な正規表現の複雑さ	https://cwe.mitre.org/data/definitions/1333.html