JVNDB-2026-013502

axios projectのaxiosにおけるオブジェクトプロトタイプ属性の不適切に制御された変更に関する脆弱性

AxiosはブラウザおよびNode.js向けのPromiseベースのHTTPクライアントです。バージョン1.15.1および0.31.1より前のバージョンでは、Object.prototypeがaxiosがhasOwnPropertyのガードなしに読み取るキーによって他の依存関係により汚染されている場合、攻撃者は(a)アプリケーションが受信する前にすべてのJSONレスポンスを密かに傍受および改ざんでき、または(b)基盤となるHTTPトランスポートを完全に乗っ取り、リクエストの資格情報、ヘッダー、ボディにアクセスできます。この前提条件として、同一プロセス内の別のソースによるプロトタイプ汚染が存在します。この脆弱性はバージョン1.15.1および0.31.1で修正されています。

axios project

• axios 0.31.1 未満
• axios 1.0.0 以上 1.15.1 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Prototype Pollution Gadgets in axios: Response Tampering, Data Exfiltration, and Request Hijacking  Advisory  axios/axios  GitHub

1. オブジェクトプロトタイプ属性の不適切に制御された変更 (プロトタイプの汚染)(CWE-1321) [その他]

1. CVE-2026-42033

1. National Vulnerability Database (NVD) : CVE-2026-42033

• [2026年04月30日]
    掲載