CVE-2026-42041 in Axiosinformación

Resumen

por VulDB • 2026-05-27

Axios es un cliente HTTP basado en promesas para el navegador y Node.js. Antes de las versiones 1.15.1 y 0.31.1, la biblioteca Axios es vulnerable a un ataque de "Gadget" de contaminación de prototipos (Prototype Pollution) que permite la contaminación de Object.prototype para suprimir silenciosamente todas las respuestas de error HTTP (401, 403, 500, etc.), haciendo que se traten como respuestas exitosas. Esto elude completamente la autenticación y el manejo de errores a nivel de aplicación. La causa raíz es que validateStatus es la única propiedad de configuración que utiliza la estrategia de fusión mergeDirectKeys, la cual emplea el operador in de JavaScript, un operador que inherentemente recorre la cadena de prototipos. Cuando Object.prototype.validateStatus se contamina con () => true, todos los códigos de estado HTTP se aceptan como éxito. Esta vulnerabilidad está corregida en las versiones 1.15.1 y 0.31.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-23

Divulgación

2026-04-24

Moderación

aceptado

Artículo

VDB-359501

CPE

listo

EPSS

0.00148

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42041
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42041
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42041/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!