30秒で判断
対応すべき人:
- Axios 1.0.0〜1.15.x を npm パッケージとして使用している
- アプリケーションのどこかで Prototype Pollution が発生しうる状況がある
対応不要な人:
- Axios 1.16.0 以降または 0.32.0 以降にアップグレード済み
- Axios を使用していない
- ブラウザのみで使用し、Node.js の HTTP アダプターを使用していない環境(ブラウザ環境では影響が限定的)
確認コマンド:
npm list axios
# または
cat package.json | grep axios
概要
Axiosの lib/adapters/http.js において、プロキシ設定(config.proxy)を標準プロパティアクセスで取得しています。Axiosのデフォルト設定には proxy プロパティが存在しないため、マージされた設定オブジェクトには proxy の独自プロパティがありません。
このため、アプリケーションの依存関係ツリー内でPrototype Pollutionが発生している場合(Object.prototype.proxy が設定された場合)、Axiosはプロトタイプチェーンを辿ってその汚染された値をプロキシ設定として使用します。
攻撃者が Object.prototype.proxy を自身のプロキシサーバーを指すように汚染できる場合、Axiosを使ったすべてのHTTPリクエスト(認証情報を含む)が攻撃者のプロキシサーバーを経由するMITM(Man-in-the-Middle)攻撃が成立します。
CVE-2026-44492(IPv4マップドIPv6でNO_PROXYをバイパスする問題)も同じ1.16.0で修正されています。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.7(High) |
| CWE | CWE-441(Unintended Proxy)、CWE-1321(Prototype Pollution) |
| 攻撃元区分 (AV) | ネットワーク (N) |
| 攻撃条件の複雑さ (AC) | 高 (H)(Prototype Pollutionの前提条件が必要) |
| 必要な特権 (PR) | なし (N) |
| ユーザーの関与 (UI) | 不要 (N) |
影響を受けるソフトウェア
| 製品 | 影響バージョン |
|---|---|
| axios(npm) | 1.0.0 〜 1.15.x |
| axios(npm) | 0.x〜0.31.x(CVE-2026-44492のNO_PROXYバイパス) |
修正バージョン
修正バージョン: axios 1.16.0(または 0.32.0)
npm install axios@latest
# または
npm install axios@1.16.0
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
