CVE-2026-42041 in Axiosinformação

Sumário

de VulDB • 27/05/2026

O Axios é um cliente HTTP baseado em promessas para o navegador e Node.js. Antes das versões 1.15.1 e 0.31.1, a biblioteca Axios é vulnerável a um ataque de "Gadget" de Prototype Pollution que permite a poluição de Object.prototype para silenciosamente suprimir todas as respostas de erro HTTP (401, 403, 500, etc.), fazendo com que sejam tratadas como respostas de sucesso. Isso contorna completamente a autenticação e o tratamento de erros em nível de aplicação. A causa raiz é que validateStatus é a única propriedade de configuração que usa a estratégia de merge mergeDirectKeys, que utiliza o operador in do JavaScript — um operador que inerentemente percorre a cadeia de protótipos. Quando Object.prototype.validateStatus é poluído com () => true, todos os códigos de status HTTP são aceitos como sucesso. Esta vulnerabilidade foi corrigida nas versões 1.15.1 e 0.31.1.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

23/04/2026

Divulgação

24/04/2026

Moderação

aceite

Entrada

VDB-359501

CPE

pronto

EPSS

0.00148

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42041
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42041
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42041/

VoltarVisão GeralPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!