製品・ソフトウェアに関する情報

JVN脆弱性詳細

axios projectのaxiosにおける送信データへの重要な情報の挿入に関する脆弱性

Title	axios projectのaxiosにおける送信データへの重要な情報の挿入に関する脆弱性
Summary	AxiosはブラウザとNode.js向けのPromiseベースのHTTPクライアントです。バージョン0.32.0および1.16.0より前のAxiosのNode.js HTTPアダプターには、特定のプロキシから直接先へのリダイレクトフローにおいて、リダイレクトされたオリジンにProxy-Authorizationヘッダーを転送してしまう可能性があります。これはNode.js使用時に影響し、最初のHTTPリクエストが認証付きHTTPプロキシを通じて送信されると、リダイレクトが追跡され、リダイレクト先のURLがもはやプロキシ経由でなくなる場合に発生します。影響を受けるリダイレクトの形態では、最終的なオリジンが送信元プロキシのためだけに意図されたプロキシ認証情報を受け取ってしまいます。この脆弱性はバージョン0.32.0および1.16.0で修正されています。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 11, 2026, midnight
Registration Date	June 15, 2026, 11:18 a.m.
Last Update	June 15, 2026, 11:18 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Affected System

axios project

axios 0.32.0 未満

axios 1.0.0 以上 1.16.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44487	https://www.cve.org/CVERecord?id=CVE-2026-44487
National Vulnerability Database (NVD)
2	CVE-2026-44487	https://nvd.nist.gov/vuln/detail/CVE-2026-44487

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-201	https://cwe.mitre.org/data/definitions/201.html

ベンダー情報

No	Name	URL
GitHub
1	Proxy-Authorization Credential Leak to Origin Server Across HTTP-to-HTTPS Redirect in Axios Node.js HTTP Adapter Advisory axios/axios GitHub	https://github.com/axios/axios/security/advisories/GHSA-p92q-9vqr-4j8v

Change Log

No	Changed Details	Date of change
1	[2026年06月15日] 掲載	June 15, 2026, 11:18 a.m.

NVD Vulnerability Information

CVE-2026-44487

Summary	Axios is a promise based HTTP client for the browser and Node.js. Prior to 0.32.0 and 1.16.0, Axios’s Node.js HTTP adapter may forward a Proxy-Authorization header to a redirected origin during specific proxy-to-direct redirect flows. This affects Node.js usage, where an initial HTTP request is sent through an authenticated HTTP proxy, redirects are followed, and the redirected URL is no longer proxied. Under affected redirect shapes, the final origin can receive the proxy credential that was intended only for the outbound proxy. This vulnerability is fixed in 0.32.0 and 1.16.0.
Publication Date	June 12, 2026, 2:16 a.m.
Registration Date	June 12, 2026, 4:18 a.m.
Last Update	June 13, 2026, 4:19 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:axios:axios::::::node.js::*				0.32.0
cpe:2.3:a:axios:axios::::::node.js::*	1.0.0			1.16.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/axios/axios/security/advisories/GHSA-p92q-9vqr-4j8v	security-advisories@github.com
2	https://github.com/axios/axios/security/advisories/GHSA-p92q-9vqr-4j8v	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-201	送信データへの重要な情報の挿入	https://cwe.mitre.org/data/definitions/201.html