Axios یک کتابخانه بسیار پرکاربرد برای ارسال درخواستهای HTTP در Node.js و مرورگر است و در بسیاری از برنامههای وب، APIها و سرویسهای cloud-connected استفاده میشود. اخیراً یک آسیبپذیری مهم با شناسه CVE-2026-40175 در این کتابخانه منتشر شده که طبق advisory رسمی Axios/GitHub، میتواند یک Prototype Pollution در dependencyهای دیگر را به اجرای کد از راه دور (RCE) یا حتی تصرف کامل محیط ابری از طریق دور زدن AWS IMDSv2 تبدیل کند. در توضیح رسمی آمده که ریشه مشکل به عدم پاکسازی مناسب headerها در کنار قابلیتهای پیشفرض HTTP/SSRF در Axios برمیگردد. advisory رسمی شدت آن را Critical با CVSS 9.9 اعلام کرده است .
محصولات تحت تأثیر
- نسخههای آسیبپذیر شامل شاخه 1.x قبل از 1.15.0 و شاخه 0.x قبل از 0.31.0 هستند.
- این مشکل در نسخههای 1.15.0 و 0.31.0 برطرف شده است.
توصیههای امنیتی
- بهروزرسانی فوری: به تمامی تیمهای توسعه و سازمانها توصیه میشود Axios را در اولویت اول به 1.15.0 یا 0.31.0 و ترجیحاً آخرین نسخه پایدار ارتقا دهند.
- بررسی dependency chain: چون این آسیبپذیری در قالب یک gadget chain عمل میکند، صرفاً بررسی نسخه مستقیم Axios کافی نیست و باید وجود Prototype Pollution در dependency های جانبی نیز بررسی شود.
- پایش دسترسی به metadata سرویسهای ابری: در محیطهای AWS و زیرساختهای cloud، درخواستهای غیرعادی به metadata service و الگوهای مشکوک header manipulation باید بررسی شوند؛ چون advisory رسمی از سناریوی AWS IMDSv2 bypass نام برده است.
منبع خبر
https://github.com/axios/axios/security/advisories/GHSA-fvcv-3m26-pcqx
- 37