Axios has Unrestricted Cloud Metadata Exfiltration via Header Injection Chain — CVE-2026-40175
GitHub · GitHub · CVE-2026-40175
ID
CVE-2026-40175
CVE-2026-40175
Date
Mis à jour
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
medium
medium
CVSS
4.8
4.8
EPSS
0.0003
0.0003
Résumé
# Vulnerability Disclosure: Unrestricted Cloud Metadata Exfiltration via Header Injection Chain ## Summary The Axios library is vulnerable to a specific gadget-style attack chain in which **prototype pollution** in a third-party dependency may be leveraged to inject unsanitized header values into outbound requests. Axios can be used as a gadget after pollution occurs elsewhere because header values merged from…
Contexte de risque
- Niveau de gravité ou de risque signalé : medium.
- Score CVSS signalé : 4.8 sur 10.
- Valeur EPSS signalée : 0.0003.
- Vérifiez l’exposition du produit ou de la famille concernée : npm: axios.
Produit
npm: axios
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Évaluez l’exposition et planifiez la remédiation selon le risque et l’environnement.
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.
Avis officiel
Preuves et provenance
- ID canonique de l’avis
- CVE-2026-40175
- Source
- GitHub
- Fournisseur
- GitHub
- Publié par la source
- 2026-04-10
- Dernière activité de la source
- 2026-05-20
- Organisé par
- hlukh.ch