Zpět na domů

Zranitelnost Axios CVE-2026-40175: rizika pro AWS

Kritická zranitelnost CVE-2026-40175 v knihovně Axios umožňuje prostřednictvím Prototype Pollution a CRLF-injekcí získat přístup k AWS IMDS a IAM tokenům. Postihuje verze pod 1.15.0, veřejné PoC jsou dostupné. Doporučuje se okamžité aktualizování a audit závislostí k minimalizaci rizik.

Zranitelnost Axios: cesta k kompromitaci cloudu odhalená
Advertisement 728x90

Kritická zranitelnost v Axiosu ohrožuje cloudové infrastruktury přes řetězec útoků

Knihovna Axios ve verzích nižších než 1.15.0 obsahuje kritickou zranitelnost CVE-2026-40175, která útočníkům umožňuje prostřednictvím napadení prototypu provést vzdálené spuštění kódu a převzít AWS prostředky. Veřejné důkazy konceptu jsou již k dispozici, oprava byla vydána – aktualizace je pro všechny uživatele životně důležitá.

Mechanismus využití a rizika

Zranitelnost vzniká kvůli chybějící validaci znaků CR a LF v metodě AxiosHeaders.set. To otevírá cestu pro CRLF injekce, kdy infikované vlastnosti prototypu Objectu projdou do HTTP hlaviček bez filtrování.

Řetězec útoku se typicky začíná kompromitací závislostí jako qs, minimist nebo body-parser. Napadení Object.prototype je následně zděděno knihovnou Axios, což vede k vložení škodlivých hlaviček a rozdělení požadavků. Výsledkem může být přístup ke službě AWS Instance Metadata Service na adrese 169.254.169.254.

Google AdInline article slot

Důsledky pro cloudové systémy:

  • Získání dočasných IAM tokenů pomocí PUT požadavků.
  • Zvýšení oprávnění a eskalace v rámci infrastruktury.
  • Úplná kompromitace mikroslužeb a kontejnerů.

Rozšířenost je vysoká: přibližně 39 % z 20 000 aktivních hostitelů v Runetu je zranitelných, skutečný počet je vyšší kvůli skrytému používání ve službách.

Indikátory kompromitace

Monitorování logů pomůže detekovat útoky v rané fázi. Mezi klíčové příznaky patří:

Google AdInline article slot
  • Abnormální PUT požadavky na 169.254.169.254.
  • Manipulace s __proto__ nebo constructor.prototype v hlavičkách.
  • CRLF sekvence %0d%0a nebo `

` v požadavcích.

  • Použití IAM tokenů z neoprávněných IP adres.
  • Chyby při parsování hlaviček a HTTP 500 chyby v Node.js.

Opatření k ochraně a kontext problému

Prototype Pollution je známá technika, která využívá dynamickou povahu JavaScriptu. V ekosystému npm takové zranitelnosti v populárních knihovnách jako Axios (60 milionů stažení týdně) představují systémová rizika pro miliony aplikací.

Příčiny vzniku: Nedostatečná striktní validace vstupních dat v hlavičkách. Jde o typický problém dodavatelského řetězce softwaru, kde se třetí strany a jejich závislosti množí.

Google AdInline article slot

Dopad na průmysl: Kritické hodnocení CVSS 3.1 (9,9–10,0 bodů) zdůrazňuje hrozbu pro poskytovatele cloudových služeb. Podobné incidenty, jako Log4Shell, ukázaly, jak lokální zranitelnosti mohou eskalovat do globálních krizí.

Doporučení:

  • Okamžitě aktualizujte na Axios 1.15.0 s kontrolou assertValidHeaderValue.
  • Proveďte audit závislostí pomocí npm audit a SCA nástrojů.
  • Omezte přístup k IMDS pomocí síťových politik a Security Groups.
  • Nastavte WAF pro blokování podezřelých vzorů.

Co je důležité

  • Zranitelnost umožňuje RCE prostřednictvím Prototype Pollution a CRLF injekcí, přímo ohrožuje AWS.
  • Postihuje všechny verze nižší než 1.15.0; PoC jsou veřejné od 10. dubna 2026.
  • 39 % prohledaných hostitelů je zranitelných, riziko podcenění je vysoké.
  • Oprava je k dispozici, ale vyžaduje kontrolu celého řetězce závislostí.
  • Globální dopad: posiluje potřebu modelu zero-trust v cloudu.

— Editorial Team

Advertisement 728x90

Číst dál