リモートホストにインストールされている axios Node.js モジュールのバージョンは、0.31.1 より前の 0.19.x、または 1.15.2 より前の 1.x です。したがって、以下の脆弱性の影響を受けます。

  - 構成マージおよび応答変換パイプラインのプロトタイプ汚染ガジェットにより、認証情報の窃取および応答のハイジャックが可能になります。mergeConfig 関数は、プロトタイプチェーンをトラバースする標準プロパティアクセスを介して、構成プロパティを読み取ります。Object.prototype.transformResponse が関数で汚染されると、各リクエストに対するデフォルトの JSON 応答パーサーがオーバーライドされます。注入された関数は、config にこの設定で実行され、auth.username、auth.password、リクエスト URL、およびすべてのヘッダーを露出させます。
    (CVE-2026-44495)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Node.js モジュール axios 0.19.x < 0.31.1 / 1.x < 1.15.2 プロトタイプ汚染の認証情報の窃盗(CVE-2026-44495)

high Nessus プラグイン ID 318802

依存が見つかりません