Axios bis 1.15.1 lib/defaults/index.js Remote Code Execution
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.9 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Axios bis 1.15.1 ausgemacht. Sie wurde als problematisch eingestuft. Dabei betrifft es einen unbekannter Codeteil in der Bibliothek lib/defaults/index.js. Die Manipulation führt zu Remote Code Execution. Diese Sicherheitslücke ist unter CVE-2026-42044 bekannt. Der Angriff kann über das Netzwerk passieren. Es steht kein Exploit zur Verfügung. Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Eine problematische Schwachstelle wurde in Axios bis 1.15.1 entdeckt. Es geht hierbei um ein unbekannter Codeblock der Bibliothek lib/defaults/index.js. Durch die Manipulation mit einer unbekannten Eingabe kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-915. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Axios is a promise based HTTP client for the browser and Node.js. From 1.0.0 to before 1.15.2, he Axios library is vulnerable to a Prototype Pollution "Gadget" attack that allows any Object.prototype pollution in the application's dependency tree to be escalated into surgical, invisible modification of all JSON API responses — including privilege escalation, balance manipulation, and authorization bypass. The default transformResponse function at lib/defaults/index.js:124 calls JSON.parse(data, this.parseReviver), where this is the merged config object. Because parseReviver is not present in Axios defaults, not validated by assertOptions, and not subject to any constraints, a polluted Object.prototype.parseReviver function is called for every key-value pair in every JSON response, allowing the attacker to selectively modify individual values while leaving the rest of the response intact. This vulnerability is fixed in 1.15.2.Das Advisory kann von github.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 23.04.2026 als CVE-2026-42044 statt. Sie ist schwierig ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 310518 (Linux Distros Unpatched Vulnerability : CVE-2026-42044) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 1.15.2 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (310518) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Name
Version
Webseite
- Produkt: https://github.com/axios/axios/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.0VulDB Meta Temp Score: 5.9
VulDB Base Score: 5.6
VulDB Temp Score: 5.4
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 6.5
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-915 / CWE-913
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 310518
Nessus Name: Linux Distros Unpatched Vulnerability : CVE-2026-42044
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Axios 1.15.2
Timeline
23.04.2026 CVE zugewiesen24.04.2026 Advisory veröffentlicht
24.04.2026 VulDB Eintrag erstellt
28.04.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-3w6x-2g7m-8v23
Status: Bestätigt
CVE: CVE-2026-42044 (🔒)
GCVE (CVE): GCVE-0-2026-42044
GCVE (VulDB): GCVE-100-359516
Eintrag
Erstellt: 24.04.2026 20:49Aktualisierung: 28.04.2026 07:57
Anpassungen: 24.04.2026 20:49 (63), 28.04.2026 07:57 (2)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.