概要
Axios は npm で 最も 広く 利用 されて いる HTTP クライアント ライブラリ の 1つ です。1.15.0 より 前 の バージョン に おいて、特定 の 「ガジェット」 攻撃 チェーン に より、サードパーティ 依存 ライブラリ に 存在 する Prototype Pollution を Remote Code Execution(RCE)や AWS IMDSv2 バイパス に よる クラウド 環境 の 完全 侵害 に エスカレーション でき ます。
この 脆弱性 は Axios 単体 で は なく、依存 ツリー 内 の 他 の Prototype Pollution 脆弱性 と 組み合わせ て 悪用 される もの です が、Axios の リクエスト 処理 パイプライン が 攻撃 チェーン の 中核 を 担う ため、Axios 側 の 修正 が 必要 です。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 10.0(Critical) |
| 攻撃 元区分 | ネットワーク |
| 攻撃 条件 の 複雑さ | 低 |
| 必要 な 特権 | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-113 / CWE-444 / CWE-918 |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| axios | axios | < 1.15.0 |
影響 の 範囲
Axios は npm で 週間 数千万 ダウンロード を 誇る HTTP クライアント ライブラリ であり、Node.js サーバー サイド アプリケーション から フロントエンド まで 広く 使われて います。特に AWS 上 で 稼働 する アプリケーション は IMDSv2 バイパス に よる IAM 認証情報 の 漏洩 リスク が あり ます。Prototype Pollution が 前提 条件 と なります が、npm エコシステム で は この 種 の 脆弱性 が 頻繁 に 報告 されて おり、攻撃 チェーン が 成立 する リスク は 低く ありません。
修正 バージョン と 回避策
- 修正: Axios 1.15.0
- 回避策: 依存 ツリー 内 の Prototype Pollution 脆弱性 を すべて 解消 する(完全 な 防御 は 困難 な ため アップデート 推奨)
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。