¡¾·ì϶¹«¸æ¡¿Axios Header ×¢Èëµ¼ÖÂÔÆÔªÊý¾Ýй¶·ì϶(CVE-2026-40175)

°ä²¼¹¦·ò 2026-04-14

Ò»¡¢·ì϶¸ÅÊö


·ìϼûû³Æ

Axios Header ×¢Èëµ¼ÖÂÔÆÔªÊý¾Ýй¶·ì϶

CVE   ID

CVE-2026-40175

·ì϶ÀàÐÍ

ÊäÈëÑéÖ¤²»µ±

·¢ÏÖ¹¦·ò

2026-4-14

·ì϶ÆÀ·Ö

10

·ì϶µÈ¼¶

ÑϳÁ

¹¥»÷ÏòÁ¿

ÍøÂç

ËùÐèȨÏÞ

ÎÞ

ÀûÓÃÄѶÈ

µÍ

Óû§½»»¥

±ØÒª

PoC/EXP

Òѹ«¿ª

ÔÚÒ°ÀûÓÃ

δ·¢ÏÖ


AxiosÊÇÒ»¿î¿í·ºÊ¹ÓõÄJavaScript HTTP¿Í»§¶Ë¿â£¬Ö§³Öä¯ÀÀÆ÷ÓëNode.js»·¾³£¬ÌṩPromise API¡¢ÒªÇóÀ¹½ØÆ÷¡¢×Ô¶¯JSONת»»µÈÖ°ÄÜ ¡£Æä³£ÓÃÓÚWebÀûÓá¢Î¢·þÎñͨѶ¼°ºó¶ËAPIŲÓã¬ÊÇÏÖ´úǰ¶Ë¼°Node.jsÀûÓõÄÖ÷ÌâÒÀÀµ×é¼þÖ®Ò» ¡£


2026Äê4ÔÂ14ÈÕ£¬28Ȧ°²È«Ó¦¼±ÏìÓ¦ÖÐÐÄ£¨VSRC£©¼à²âµ½Axios Header×¢Èëµ¼ÖÂÔÆÔªÊý¾Ýй¶·ì϶ ¡£¸Ã·ì϶´æÔÚÓÚlib/adapters/http.js×é¼þÖУ¬ÓÉÓÚAxiosÔڹ鲢ҪÇóÅäÖÃʱδ¶ÔHeaderÖµ½øÐÐCRLF×Ö·ûУÑ飬ÇÒ»á¼Ì³Ð±»´«È¾µÄObject.prototypeÊôÐÔ£¬µ¼ÖÂPrototype Pollution¿É±»ÀûÓÃΪ¡°Gadget¡± ¡£¹¥»÷Õß¿Éͨ¹ýµÚÈý·½ÒÀÀµÖеÄÔ­ÐÍ´«È¾·ì϶עÈë¶ñÒâHeader£¬½ø¶ø»ú¹ØÒªÇó×ß˽£¨Request Smuggling£©Á÷Á¿£¬ÊµÏÖ¶ÔAWS IMDSv2µÈÔÆÔªÊý¾Ý·þÎñµÄ½Ó¼û£¬ÇÔÈ¡IAMƾ֤»òÖ´ÐÐÔ¶³Ì´úÂë ¡£¸Ã·ì϶¿ÉÄÜÈÆ¹ýÔÆ°²È«Ììǵ½ÚÔ죬µ¼ÖÂÔÆ»·¾³ÆëȫʧÏÝ ¡£


¶þ¡¢Ó°ÏìÁìÓò


axios < 1.15.0


Èý¡¢°²È«´ëÊ©


3.1 Éý¼¶°æ±¾


¹Ù·½ÒѰ䲼½¨¸´²¹¶¡£¬ÒÔ½¨¸´¸Ã·ì϶ ¡£
axios >= 1.15.0


ÏÂÔØÁ´½Ó£ºhttps://github.com/axios/axios/releases/


3.2 һʱ´ëÊ©


ÔÝÎÞ ¡£


3.3 ͨÓý¨Òé


? ¶¨ÆÚ¸üÐÂϵͳ²¹¶¡£¬Ï÷¼õϵͳ·ì϶£¬ÌáÉý·þÎñÆ÷µÄ°²È«ÐÔ ¡£
? ¼ÓǿϵͳºÍÍøÂçµÄ½Ó¼û½ÚÔ죬Åú¸Ä·À»ðǽսÊõ£¬¹Ø¹Ø·Ç±ØÒªµÄÀûÓö˿ڻò·þÎñ£¬Ï÷¼õ½«Î£ÏÕ·þÎñ£¨ÈçSSH¡¢RDPµÈ£©Â¶³öµ½¹«Íø£¬Ï÷¼õ¹¥»÷Ãæ ¡£
? Ê¹ÓÃÆóÒµ¼¶°²È«²úÆ·£¬ÌáÉýÆóÒµµÄÍøÂ簲ȫ»úÄÜ ¡£
? ¼ÓǿϵͳÓû§ºÍȨÏÞÖÎÀí£¬ÆôÓöà³É·ÖÈÏÖ¤»úÔìºÍ×îÓ×ȨÏÞ×¼Ôò£¬Óû§ºÍÈí¼þȨÏÞӦά³ÖÔÚ×îµÍÏÞ¶È ¡£
? ÆôÓÃÇ¿ÃÜÂëÕ½Êõ²¢ÉèÖÃΪ¶¨ÆÚÅú¸Ä ¡£


3.4 ²Î¿¼Á´½Ó


https://nvd.nist.gov/vuln/detail/CVE-2026-40175/
https://github.com/advisories/GHSA-fvcv-3m26-pcqx/