Axios has Unrestricted Cloud Metadata Exfiltration via Header Injection Chain — CVE-2026-40175
GitHub · GitHub · CVE-2026-40175
ID
CVE-2026-40175
CVE-2026-40175
Datum
Aktualisiert
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
medium
medium
CVSS
4.8
4.8
EPSS
0.0003
0.0003
Zusammenfassung
# Vulnerability Disclosure: Unrestricted Cloud Metadata Exfiltration via Header Injection Chain ## Summary The Axios library is vulnerable to a specific gadget-style attack chain in which **prototype pollution** in a third-party dependency may be leveraged to inject unsanitized header values into outbound requests. Axios can be used as a gadget after pollution occurs elsewhere because header values merged from…
Risikokontext
- Gemeldeter Schweregrad oder Risikowert: medium.
- Gemeldeter CVSS-Wert: 4.8 von 10.
- Gemeldeter EPSS-Wert: 0.0003.
- Prüfe die Exponierung für das betroffene Produkt oder die Produktfamilie: npm: axios.
Produkt
npm: axios
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Prüfe Exponierung und plane Maßnahmen nach Risiko und Umfeld.
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.
Offizielles Advisory
Nachweise und Herkunft
- Kanonische Advisory-ID
- CVE-2026-40175
- Quelle
- GitHub
- Vendor
- GitHub
- Von der Quelle veröffentlicht
- 2026-04-10
- Letzte Quellenaktivität
- 2026-05-20
- Kuratiert von
- hlukh.ch