0xBlackash/CVE-2026-40175

## 📢 概述 **Axios** —— JavaScript（浏览器 & Node.js）中最流行的 HTTP 客户端之一 —— 在 **1.15.0 版本之前** 存在一个 **关键** 漏洞。 一种特定的 **“工具链”攻击** 允许攻击者将 **任意原型污染**（即使来自第三方依赖）升级为： - **远程代码执行（RCE）** - **完全云环境沦陷**（包括绕过 AWS IMDSv2 以窃取凭证） **CVSS 评分：** 10.0（严重） **攻击向量：** 网络 **复杂度：** 低 **所需权限：** 无 **用户交互：** 无 ## 🛡️ 修复版本 **✅ Axios v1.15.0**（及所有更新版本） ### 立即行动 ``` # 更新到最新安全版本 npm install axios@latest # 或使用 yarn yarn add axios@latest # 或使用 pnpm pnpm update axios ``` ## 📋 详细信息 - **CVE ID**：[CVE-2026-40175](https://nvd.nist.gov/vuln/detail/CVE-2026-40175) - **GitHub 安全公告**：[GHSA-fvcv-3m26-pcqx](https://github.com/axios/axios/security/advisories/GHSA-fvcv-3m26-pcqx) - **官方修复 PR**：[#10660](https://github.com/axios/axios/pull/10660) - **发布版本**：[v1.15.0](https://github.com/axios/axios/releases/tag/v1.15.0) 该漏洞源于 Axios 中不安全的处理方式，将一个相对常见的原型污染原语（来自任意依赖）转化为强大的升级向量 —— 包括头部注入和无限制的云元数据泄露。 ## 🔍 影响 这在以下场景中尤其危险： - 服务端 Node.js 应用 - 云中运行的微服务（AWS、GCP、Azure） - 任何具有深层依赖树的项目 即使 **你的代码** 未直接导致原型污染，`node_modules` 中其他易受攻击的库也可能通过 Axios 被升级利用。 ## 🛠 如何检查是否受影响 ``` # 查看您正在使用的 axios 版本 npm ls axios # 审计漏洞 npm audit | grep -i axios ``` 同时扫描你的传递性依赖。 ## 📌 建议 1. **立即将 Axios 更新至 `>= 1.15.0`** 2. 审查并尽可能固定依赖项 3. 考虑使用以下工具： - `npm audit` - `dependabot` / `renovate` - `snyk` 或 `socket.dev` 进行更深入的供应链分析 4. 如果你曾长时间使用易受攻击的版本，请监控任何可疑活动 ## 📚 参考 - [NVD 条目](https://nvd.nist.gov/vuln/detail/CVE-2026-40175) - [Axios 安全公告](https://github.com/axios/axios/security/advisories/GHSA-fvcv-3m26-pcqx) - [Axios 发布 v1.15.0](https://github.com/axios/axios/releases/tag/v1.15.0)

标签：AWS IMDSv2, axios, CVE-2026-40175, JavaScript安全, MITM代理, Node.js安全, npm审计, RCE, StruQ, Syscall 审计, 低复杂度攻击, 依赖漏洞, 原型污染, 微服务安全, 数据可视化, 无用户交互攻击, 暗色界面, 服务器端安全, 深度依赖树, 漏洞修复, 编程工具, 网络安全, 网络安全培训, 远程代码执行, 隐私保护