| タイトル | axios projectのaxiosにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性 |
|---|---|
| 概要 | AxiosはブラウザおよびNode.js向けのPromiseベースのHTTPクライアントです。バージョン1.15.1および0.31.1より前のバージョンでは、Object.prototypeがaxiosがhasOwnPropertyのガードなしに読み取るキーによって他の依存関係により汚染されている場合、攻撃者は(a)アプリケーションが受信する前にすべてのJSONレスポンスを密かに傍受および改ざんでき、または(b)基盤となるHTTPトランスポートを完全に乗っ取り、リクエストの資格情報、ヘッダー、ボディにアクセスできます。この前提条件として、同一プロセス内の別のソースによるプロトタイプ汚染が存在します。この脆弱性はバージョン1.15.1および0.31.1で修正されています。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月24日0:00 |
| 登録日 | 2026年4月30日12:25 |
| 最終更新日 | 2026年4月30日12:25 |
| CVSS3.0 : 重要 | |
| スコア | 7.4 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
| axios project |
| axios 0.31.1 未満 |
| axios 1.0.0 以上 1.15.1 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月30日] 掲載 |
2026年4月30日12:25 |
| 概要 | Axios is a promise based HTTP client for the browser and Node.js. Prior to 1.15.1 and 0.31.1, when Object.prototype has been polluted by any co-dependency with keys that axios reads without a hasOwnProperty guard, an attacker can (a) silently intercept and modify every JSON response before the application sees it, or (b) fully hijack the underlying HTTP transport, gaining access to request credentials, headers, and body. The precondition is prototype pollution from a separate source in the same process. This vulnerability is fixed in 1.15.1 and 0.31.1. |
|---|---|
| 公表日 | 2026年4月25日3:16 |
| 登録日 | 2026年4月25日4:08 |
| 最終更新日 | 2026年4月28日3:57 |