つみかさね

CVE-2026-44494

High(8.7)

AxiosのPrototype Pollution経由MITM CVE-2026-44494:影響範囲と対応方法

公開日: 2026-07-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
axiosaxios1.0.0 〜 1.15.x(npm)

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1npm listでaxiosのバージョンを確認する
  2. 2axios 1.16.0以降へアップグレードする(npm install axios@latest)
  3. 3依存関係ツリーに含まれる推移的依存のaxiosも確認する(npm ls axios)

影響対象

axios 1.0.0〜1.15.xを使用するNode.jsアプリケーション

補足

  • -この脆弱性はPrototype Pollutionが前提条件です。単体では悪用できませんが、他の脆弱性と組み合わせることで深刻度が上がります
  • -CVE-2026-44492(NO_PROXYバイパス)も1.16.0で同時修正されているため、アップグレードを推奨します
CVEAxiosPrototype PollutionMITMnpmJavaScript

30秒で判断

対応すべき人:

  • Axios 1.0.0〜1.15.x を npm パッケージとして使用している
  • アプリケーションのどこかで Prototype Pollution が発生しうる状況がある

対応不要な人:

  • Axios 1.16.0 以降または 0.32.0 以降にアップグレード済み
  • Axios を使用していない
  • ブラウザのみで使用し、Node.js の HTTP アダプターを使用していない環境(ブラウザ環境では影響が限定的)

確認コマンド:

npm list axios
# または
cat package.json | grep axios

概要

Axiosの lib/adapters/http.js において、プロキシ設定(config.proxy)を標準プロパティアクセスで取得しています。Axiosのデフォルト設定には proxy プロパティが存在しないため、マージされた設定オブジェクトには proxy の独自プロパティがありません。

このため、アプリケーションの依存関係ツリー内でPrototype Pollutionが発生している場合(Object.prototype.proxy が設定された場合)、Axiosはプロトタイプチェーンを辿ってその汚染された値をプロキシ設定として使用します。

攻撃者が Object.prototype.proxy を自身のプロキシサーバーを指すように汚染できる場合、Axiosを使ったすべてのHTTPリクエスト(認証情報を含む)が攻撃者のプロキシサーバーを経由するMITM(Man-in-the-Middle)攻撃が成立します。

CVE-2026-44492(IPv4マップドIPv6でNO_PROXYをバイパスする問題)も同じ1.16.0で修正されています。


CVSSベクトル

項目
CVSSスコア8.7(High)
CWECWE-441(Unintended Proxy)、CWE-1321(Prototype Pollution)
攻撃元区分 (AV)ネットワーク (N)
攻撃条件の複雑さ (AC)高 (H)(Prototype Pollutionの前提条件が必要)
必要な特権 (PR)なし (N)
ユーザーの関与 (UI)不要 (N)

影響を受けるソフトウェア

製品影響バージョン
axios(npm)1.0.0 〜 1.15.x
axios(npm)0.x〜0.31.x(CVE-2026-44492のNO_PROXYバイパス)

修正バージョン

修正バージョン: axios 1.16.0(または 0.32.0

npm install axios@latest
# または
npm install axios@1.16.0

関連リンク


データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。