Zurück zur Startseite

Axios CVE-2026-40175 Schwachstelle: Risiken für AWS

Kritische Schwachstelle CVE-2026-40175 in Axios-Bibliothek ermöglicht Zugriff auf AWS IMDS und IAM Tokens über Prototype Pollution und CRLF-Injectionen. Betroffen sind Versionen unter 1.15.0, öffentliches PoC verfügbar. Sofortige Aktualisierung und Abhängigkeits-Audit empfohlen, um Risiken zu minimieren.

Axios Schwachstelle: Pfad zur Cloud-Kompromittierung enthüllt
Advertisement 728x90

Kritische Axios-Sicherheitslücke gefährdet Cloud-Infrastrukturen durch Angriffskette

Axios-Versionen vor 1.15.0 enthalten eine kritische Sicherheitsanfälligkeit, CVE-2026-40175, die Angreifern Remote-Code-Ausführung ermöglicht und AWS-Ressourcen über Prototype Pollution kompromittieren kann. Öffentlich verfügbare Proof-of-Concept-(PoC)-Exploits existieren bereits, und ein Patch wurde veröffentlicht – sofortige Aktualisierungen sind für alle Nutzer unerlässlich.

Funktionsweise der Ausnutzung und Risiken

Die Schwachstelle resultiert aus unzureichender Validierung von CR- und LF-Zeichen in der Methode AxiosHeaders.set. Dadurch wird CRLF-Injektion möglich, wenn manipulierte Objekt-Prototyp-Eigenschaften ungefiltert in HTTP-Header eingefügt werden.

Die Angriffskette beginnt typischerweise mit der Kompromittierung von Abhängigkeiten wie qs, minimist oder body-parser. Sobald Object.prototype verunreinigt ist, übernimmt Axios diese beschädigten Eigenschaften, was zu bösartigen Header-Injektionen und HTTP-Anfrage-Splitting führt. Angreifer können dadurch auf den AWS Instance Metadata Service unter 169.254.169.254 zugreifen.

Google AdInline article slot

Auswirkungen auf Cloud-Umgebungen:

  • Abruf temporärer IAM-Token mittels PUT-Anfragen.
  • Erhöhung der Rechte innerhalb der Infrastruktur.
  • Vollständige Übernahme von Microservices und Containern.

Die Sicherheitslücke ist weit verbreitet: Etwa 39 % von 20.000 aktiven Hosts, die im russischsprachigen Internet gescannt wurden, sind betroffen; die tatsächliche Zahl ist aufgrund verborgener Nutzung in Backend-Diensten wahrscheinlich höher.

Hinweise auf Kompromittierung

Das Monitoring von Logs kann helfen, Angriffe frühzeitig zu erkennen. Wichtige Warnsignale sind:

Google AdInline article slot
  • Ungewöhnliche PUT-Anfragen an 169.254.169.254.
  • Manipulation von __proto__ oder constructor.prototype in Headern.
  • Vorhandensein von CRLF-Sequenzen wie %0d%0a oder \r\n in Anfragen.
  • Unbefugte Nutzung von IAM-Tokens von unerwarteten IP-Adressen.
  • Fehler beim Parsen von Headern und HTTP-500-Antworten in Node.js-Anwendungen.

Minderungsmaßnahmen und Kontext

Prototype Pollution ist eine bekannte Technik, die die dynamische Natur von JavaScript ausnutzt. Im npm-Ökosystem bergen Schwachstellen in weitverbreiteten Bibliotheken wie Axios (mit über 60 Millionen wöchentlichen Downloads) systemische Risiken für Millionen von Anwendungen.

Ursachen: Fehlende strikte Eingabekontrolle bei HTTP-Headern. Dies verdeutlicht allgemeinere Herausforderungen in der Software-Beschaffungskette, bei denen Drittanbieter-Abhängigkeiten stillschweigend verbreitet werden.

Branchenweite Auswirkungen: Ein CVSS-3.1-Score von 9,9–10,0 unterstreicht die Schwere für Cloud-Anbieter. Frühere Vorfälle wie Log4Shell zeigten bereits, wie lokale Schwachstellen sich zu globalen Bedrohungen entwickeln können.

Google AdInline article slot

Empfohlene Maßnahmen:

  • Sofortige Aktualisierung auf Axios 1.15.0, das assertValidHeaderValue-Prüfungen enthält.
  • Audit der Abhängigkeiten mithilfe von npm audit und SCA-Tools.
  • Zugriff auf IMDS durch Netzwerkrichtlinien und Security Groups einschränken.
  • WAF-Regeln konfigurieren, um verdächtige Muster zu blockieren.

Wichtigste Erkenntnisse

  • Die Lücke ermöglicht RCE durch Prototype Pollution und CRLF-Injektion und gefährdet AWS-Workloads direkt.
  • Betroffen sind alle Versionen vor 1.15.0; öffentliche PoCs sind seit dem 10. April 2026 verfügbar.
  • 39 % der geprüften Hosts sind weiterhin gefährdet – die Risiken zu unterschätzen, ist gefährlich.
  • Patches sind verfügbar, erfordern aber die vollständige Überprüfung der Abhängigkeitskette.
  • Weitreichende Konsequenz: Belegt die Notwendigkeit von Zero-Trust-Architekturen in Cloud-Umgebungen.

— Editorial Team

Advertisement 728x90

Weiterlesen