کشف آسیب پذیری در Axios

Axios یک کتابخانه بسیار پرکاربرد برای ارسال درخواست‌های HTTP در  Node.js و مرورگر است و در بسیاری از برنامه‌های وب، APIها و سرویس‌های cloud-connected استفاده می‌شود. اخیراً یک آسیب‌پذیری مهم با شناسه CVE-2026-40175 در این کتابخانه منتشر شده که طبق advisory رسمی Axios/GitHub، می‌تواند یک Prototype Pollution در dependencyهای دیگر را به اجرای کد از راه دور (RCE) یا حتی تصرف کامل محیط ابری از طریق دور زدن AWS IMDSv2 تبدیل کند. در توضیح رسمی آمده که ریشه مشکل به عدم پاک‌سازی مناسب headerها در کنار قابلیت‌های پیش‌فرض HTTP/SSRF در Axios برمی‌گردد. advisory رسمی شدت آن را Critical با CVSS 9.9 اعلام کرده است .

محصولات تحت تأثیر

• Axios (npm package)

• نسخه‌های آسیب‌پذیر شامل شاخه 1.x  قبل از  1.15.0  و شاخه 0.x قبل از  0.31.0 هستند.
• این مشکل در نسخه‌های 1.15.0 و 0.31.0 برطرف شده است.

توصیه‌های امنیتی

• به‌روزرسانی فوری: به تمامی تیم‌های توسعه و سازمان‌ها توصیه می‌شود Axios را در اولویت اول به 1.15.0 یا 0.31.0  و ترجیحاً آخرین نسخه پایدار ارتقا دهند.
• بررسی dependency chain: چون این آسیب‌پذیری در قالب یک gadget chain عمل می‌کند، صرفاً بررسی نسخه مستقیم Axios کافی نیست و باید وجود Prototype Pollution در  dependency های جانبی نیز بررسی شود.
• پایش دسترسی به metadata سرویس‌های ابری: در محیط‌های AWS و زیرساخت‌های cloud، درخواست‌های غیرعادی به metadata service و الگوهای مشکوک header manipulation باید بررسی شوند؛ چون advisory رسمی از سناریوی AWS IMDSv2 bypass نام برده است.