Impatto Sistemico

Critico (79.48)

Sintesi

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2026-40175 presente nella libreria Axios, client HTTP ampiamente utilizzato in applicazioni JavaScript per browser e ambienti Node.js, incluse architetture cloud e microservizi.

Tipologia

• Authentication Bypass
• Remote Code Execution

Descrizione e potenziali impatti

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE‑2026‑40175 – di tipo ” Gadget‑based vulnerability ” e con score CVSS 3.x pari a 10.0 – presente nella libreria Axios. Tale vulnerabilità è dovuta alla mancata sanitizzazione degli header HTTP nella costruzione delle richieste: durante il config merge, vengono infatti ereditate automaticamente le proprietà presenti sull’oggetto di configurazione, incluse quelle provenienti da Object.prototype. Sebbene Axios includa protezioni contro la Prototype Pollution diretta, la libreria rimane vulnerabile all’uso come gadget quando una vulnerabilità di Prototype Pollution è presente in una dipendenza terza (ad es. qs, minimist, body‑parser).

Un attaccante remoto non autenticato può sfruttare la vulnerabilità tramite una exploit‑chain che combina Prototype Pollution in una dipendenza e HTTP Header Injection in Axios, ottenendo così l’accesso ai servizi di metadata cloud e la potenziale completa compromissione dell’infrastruttura.

Prodotti e versioni affette

Axios, versioni precedenti alla 1.15.0

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente le release vulnerabili all’ultima versione stabile disponibile.