Axios - CVE-2026-42035
Date de publication :
Il s'agit d'une vulnérabilité de type gadget de prototype pollution dans l'adaptateur HTTP d'Axios (lib/adapters/http.js).
Axios est un client HTTP basé sur les promesses JavaScript, destiné aux environnements navigateur et Node.js. Il est l'une des bibliothèques npm les plus téléchargées au monde et sert à effectuer des requêtes HTTP dans les applications web et les services backend.
Si Object.prototype est pollué avec les propriétés getHeaders, append, pipe, on, once et Symbol.toStringTag, via n'importe quelle dépendance tierce du projet — Axios identifie à tort tout objet ordinaire comme une instance FormData et fusionne les en-têtes retournés par la fonction getHeaders() contrôlée par l'attaquant dans la requête HTTP sortante.
Elle permet une atteinte à la confidentialité des données et une atteinte à l'intégrité des données par injection d'en-têtes HTTP arbitraires.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-113 : Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Request/Response Splitting')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
• Axios versions 1.15.0 et antérieures
• Axios versions 0.31.0 et antérieures
Solutions ou recommandations
• Axios version 0.31.1 et supérieures