CVE-2026-44489
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Podatność w Axios, kliencie HTTP, pozwala na wstrzyknięcie złośliwych danych do nagłówka Proxy-Authorization w przypadku, gdy obiekt proxy jest zanieczyszczony. Problem występuje w wersjach od 1.15.2 do przed 1.16.0, gdzie funkcja setProxy() nie sprawdza właściwości obiektów.
Ocena ryzyka
Atakujący może przejąć kontrolę nad poświadczeniami użytkownika, co prowadzi do nieautoryzowanego dostępu do zasobów. To może skutkować poważnymi naruszeniami bezpieczeństwa w organizacji.
Rekomendacja
Zaleca się aktualizację Axios do wersji 1.16.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt kodu w celu identyfikacji potencjalnych miejsc, gdzie mogą występować podobne problemy.
Oryginalny opis (angielski, źródło NVD)
Axios is a promise based HTTP client for the browser and Node.js. From 1.15.2 to before 1.16.0, nested objects created by utils.merge() (e.g., config.proxy) are still constructed as plain {} with Object.prototype in their chain. The setProxy() function at lib/adapters/http.js:209-223 reads proxy.username, proxy.password, and proxy.auth without hasOwnProperty checks. When Object.prototype.username is polluted, setProxy() constructs a Proxy-Authorization header with attacker-controlled credentials and injects it into every proxied HTTP request. This vulnerability is fixed in 1.16.0.

