CVE-2026-42264 in Axiosالمعلومات

الملخص

بحسب VulDB • 01/06/2026

Axios هو عميل HTTP قائم على الوعود (Promises) للمتصفح وNode.js. من الإصدار 1.0.0 وحتى ما قبل الإصدار 1.15.2، يتم قراءة خصائص تكوين fFive (auth، baseURL، socketPath، beforeRedirect، وinsecureHTTPParser) في محوّل HTTP عبر الوصول المباشر إلى الخصائص دون استخدام حواجز hasOwnProperty، مما يجعلها قابلة للاستغلال كأدوات لثلم التلوث البروتوتيبي (Prototype Pollution). عندما يتم تلويث Object.prototype بواسطة تبعية أخرى في نفس العملية، يلتقط axios هذه القيم الملوثة بصمت في كل طلب HTTP صادر. تم إصلاح هذه المشكلة في الإصدار 1.15.2.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

26/04/2026

إفشاء

08/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362000

CPE

جاهز

CWE

CWE-1321 (مؤكد)

CVSS

7.4 (CNA)

EPSS

0.00092

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42264
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42264
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42264/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!