リモートホストにインストールされている axios Node.js モジュールのバージョンは 0.31.1 より前の 0.19.x、または 1.15.2 より前の 1.x です。したがって、以下の脆弱性の影響を受けます。

  - 構成マージおよびレスポンス変換パイプラインにおけるプロトタイプ汚染ガジェットにより、認証情報の窃取およびレスポンスのハイジャックが可能になります。mergeConfig 関数は、プロトタイプチェーンをトラバースする標準的なプロパティアクセスによって構成プロパティを読み取ります。Object.prototype.transformResponse が関数で汚染されると、すべてのリクエストに対するデフォルトの JSON レスポンスパーサーがオーバーライドされます。注入された関数は、this が config に設定された状態で実行され、auth.username、auth.password、リクエスト URL、およびすべてのヘッダーを露出させます。
    (CVE-2026-44495)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Node.js axios モジュール 0.19.x < 0.31.1 / 1.x < 1.15.2 におけるプロトタイプ汚染による認証情報窃取 (CVE-2026-44495)

high Nessus プラグイン ID 318802

依存が見つかりません