CVE-2026-42044 in Axios
Zusammenfassung
von VulDB • 17.05.2026
Axios ist ein auf Promises basierender HTTP-Client für den Browser und Node.js. Von Version 1.0.0 bis vor 1.15.2 ist die Axios-Bibliothek anfällig für einen „Gadget“-Angriff durch Prototype Pollution, der es ermöglicht, jede beliebige Verschmutzung von Object.prototype im Abhängigkeitsbaum der Anwendung in eine gezielte, unsichtbare Modifikation aller JSON-API-Antworten hochzustufen – einschließlich Privilegieneskalation, Manipulation von Kontoständen und Umgehung der Autorisierung. Die Standardfunktion `transformResponse` in `lib/defaults/index.js:124` ruft `JSON.parse(data, this.parseReviver)` auf, wobei `this` das zusammengeführte Konfigurationsobjekt ist. Da `parseReviver` nicht in den Axios-Standardwerten vorhanden ist, nicht durch `assertOptions` validiert wird und keinen Einschränkungen unterliegt, wird eine verschmutzte `Object.prototype.parseReviver`-Funktion für jedes Schlüssel-Wert-Paar in jeder JSON-Antwort aufgerufen, wodurch der Angreifer in der Lage ist, einzelne Werte selektiv zu modifizieren, während der Rest der Antwort intakt bleibt. Diese Schwachstelle wurde in Version 1.15.2 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.