Node.js モジュール axios 0.30.4 / 1.14.1 サプライチェーンの脆弱性
critical Nessus プラグイン ID 304406
Language:
概要
Node.js JavaScript ランタイム環境のモジュールは、サプライチェーンの脆弱性の影響を受けます。説明
リモートホストにインストールされている axios Node.js モジュールのバージョンは、0.30.4 または 1.14.1 です。したがって、広く使用されている HTTP クライアント Axios を標的とするサプライチェーン攻撃により、[email protected] および [email protected] などの特定の npm リリースへの悪意のある依存関係が導入された場合、サプライチェーンの脆弱性の影響を受けます。最新バージョンは、Socket が悪意があると確認したパッケージ、[email protected] を導入します。悪意のあるパッケージは、任意のコマンドを実行し、システムデータを抽出し、感染したマシンに永続することができるリモートアクセスのトロイの木馬 (RAT) を含む、マルチステージのペイロードを展開します。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるシステムからバージョン 1.14.1 および 0.30.4 を削除し、この脆弱性の影響を受けない最新バージョンの axios に更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 304406
ファイル名: npm-axios-supply-chain-31-03.nasl
バージョン: 1.2
タイプ: Local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2026/3/31
更新日: 2026/4/1
サポートされているセンサー: Nessus Agent, Nessus
脆弱性情報
CPE: cpe:/a:axios:axios
必要な KB アイテム: installed_sw/Node.js, Host/nodejs/modules/enumerated
パッチ公開日: 2026/3/31
脆弱性公開日: 2026/3/31