Node.js Module axios < 1.15.1 の複数の脆弱性

medium Nessus プラグイン ID 313224

Language:

概要

Node.js JavaScript ランタイム環境のモジュールは複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている axios Node.js モジュールのバージョンは、1.15.1 より前です。そのため、以下の複数の脆弱性の影響を受けます。

- axios のプロトタイプ汚染ガジェットにより、応答の改ざん、データ漏洩、リクエストのハイジャックが可能になります。
(CVE-2026-42033)

- maxRedirects が 0 に設定されている場合、Axios の HTTP アダプターストリームアップロードが maxBodyLength をバイパスします。(CVE-2026-42034)

- axios のプロトタイプ汚染によるヘッダーインジェクション。(CVE-2026-42035)

- Axios HTTP アダプターのストリームされた応答が maxContentLength をバイパスします。(CVE-2026-42036)

- IP エイリアス経由の Axios no_proxy バイパスにより、SSRF が引き起こされる可能性があります。(CVE-2026-42038)

- toFormData の無制限の再帰により、深くネストされたリクエストデータを介してサービス拒否が発生します。(CVE-2026-42039)

- CVE-2025-62718 に対する不完全な修正 - axios 1.15.0 の RFC 1122 ループバックサブネット (127.0.0.0/8) を介して NO_PROXY 保護がバイパスされました。(CVE-2026-42043)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。