【漏洞通告】Axios Header 注入导致云元数据泄露漏洞(CVE-2026-40175)
发布时间 2026-04-14一、漏洞概述
漏洞名称 | Axios Header 注入导致云元数据泄露漏洞 | ||
CVE ID | CVE-2026-40175 | ||
漏洞类型 | 输入验证不当 | 发现时间 | 2026-4-14 |
漏洞评分 | 10 | 漏洞等级 | 严重 |
攻击向量 | 网络 | 所需权限 | 无 |
利用难度 | 低 | 用户交互 | 需要 |
PoC/EXP | 已公开 | 在野利用 | 未发现 |
Axios是一款广泛使用的JavaScript HTTP客户端库,支持浏览器与Node.js环境,提供Promise API、请求拦截器、自动JSON转换等功能。其常用于Web应用、微服务通信及后端API调用,是现代前端及Node.js应用的核心依赖组件之一。
2026年4月14日,启明星辰安全应急响应中心(VSRC)监测到Axios Header注入导致云元数据泄露漏洞。该漏洞存在于lib/adapters/http.js组件中,由于Axios在合并请求配置时未对Header值进行CRLF字符校验,且会继承被污染的Object.prototype属性,导致Prototype Pollution可被利用为“Gadget”。攻击者可通过第三方依赖中的原型污染漏洞注入恶意Header,进而构造请求走私(Request Smuggling)流量,实现对AWS IMDSv2等云元数据服务的访问,窃取IAM凭证或执行远程代码。该漏洞可能绕过云安全边界控制,导致云环境完全失陷。
二、影响范围
axios < 1.15.0
三、安全措施
3.1 升级版本
下载链接:https://github.com/axios/axios/releases/
3.2 临时措施
暂无。
京公网安备11010802024551号