| タイトル | axios projectのaxiosにおける複数の脆弱性 |
|---|---|
| 概要 | AxiosはブラウザとNode.js向けのPromiseベースのHTTPクライアントです。0.x系の0.32.0未満および1.x系の1.16.0未満のAxiosバージョンでは、設定されたXSRFクッキー名から正規表現を作成する際に、正規表現のメタキャラクターをエスケープしていません。標準的なブラウザ環境において、axiosに渡されるクッキー名を操作できる攻撃者は、axiosがdocument.cookieを読み込む際に高コストな正規表現のバックトラッキングを引き起こす可能性があります。実際の影響としてはクライアント側の可用性が低下し、axiosがリクエストを準備している間に該当のブラウザタブがフリーズするなどの問題が発生します。この問題は、通常のNode.js HTTPアダプターの使用、React Native、およびaxiosがdocument.cookieを読み込まないWebワーカーには影響を与えません。この脆弱性は0.32.0および1.16.0で修正されています。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月11日0:00 |
| 登録日 | 2026年6月15日11:18 |
| 最終更新日 | 2026年6月15日11:18 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| axios project |
| axios 0.32.0 未満 |
| axios 1.0.0 以上 1.16.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月15日] 掲載 |
2026年6月15日11:18 |
| 概要 | Axios is a promise based HTTP client for the browser and Node.js. Axios versions before 0.32.0 on the 0.x line and before 1.16.0 on the 1.x line build a regular expression from the configured XSRF cookie name without escaping regex metacharacters. In standard browser environments, an attacker who can influence the cookie name passed to axios can cause expensive regex backtracking while axios reads document.cookie. The practical impact is client-side availability degradation, such as freezing the affected browser tab while axios prepares a request. The issue does not affect ordinary Node.js HTTP adapter usage, React Native, or web workers, where axios does not read document.cookie. This vulnerability is fixed in 0.32.0 and 1.16.0. |
|---|---|
| 公表日 | 2026年6月12日2:16 |
| 登録日 | 2026年6月12日4:18 |
| 最終更新日 | 2026年6月13日3:00 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:axios:axios:*:*:*:*:*:node.js:*:* | 0.32.0 | ||||
| cpe:2.3:a:axios:axios:*:*:*:*:*:node.js:*:* | 1.0.0 | 1.16.0 | |||