Axios — это HTTP-клиент на основе обещаний для браузера и Node.js. До версии 1.15.0 библиотека Axios уязвима для конкретной цепочки атак «Гаджет», которая позволяет перерасти загрязнение прототипов в любой сторонней зависимости в удаленное выполнение кода (RCE) или полную облачную компрометацию (через обход AWS IMDSv2). Эта уязвимость исправлена в версии 1.15.0.
Показать оригинальное описание (EN)
Axios is a promise based HTTP client for the browser and Node.js. Prior to 1.15.0 and 0.3.1, the Axios library is vulnerable to a specific "Gadget" attack chain that allows Prototype Pollution in any third-party dependency to be escalated into Remote Code Execution (RCE) or Full Cloud Compromise (via AWS IMDSv2 bypass). This vulnerability is fixed in 1.15.0 and 0.3.1.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 8
https://github.com/axios/axios/commit/363185461b90b1b78845dc8a99a1f103d9b122a1
security-advisories@github.com
https://github.com/axios/axios/pull/10660
security-advisories@github.com
https://github.com/axios/axios/releases/tag/v1.15.0
security-advisories@github.com
https://github.com/axios/axios/security/advisories/GHSA-fvcv-3m26-pcqx
security-advisories@github.com
https://github.com/axios/axios/commit/03cdfc99e8db32a390e12128208b6778492cee9c
security-advisories@github.com
https://github.com/axios/axios/pull/10688
security-advisories@github.com
https://github.com/axios/axios/releases/tag/v0.31.0
security-advisories@github.com
https://github.com/axios/axios/pull/10660#issuecomment-4224168081
af854a3a-2127-422b-91ae-364da2661108