返回首页

Axios CVE-2026-40175 漏洞:对 AWS 的风险

Axios 库中的关键漏洞 CVE-2026-40175 通过原型污染和 CRLF 注入允许访问 AWS IMDS 和 IAM 令牌。影响 1.15.0 以下版本,已有公开 PoC。建议立即更新和依赖审计以最小化风险。

Axios 漏洞:通往云入侵的路径揭晓
Advertisement 728x90

严重 Axios 漏洞通过攻击链威胁云基础设施

Axios 1.15.0 以下版本存在一个严重漏洞 CVE-2026-40175,攻击者可利用该漏洞通过原型污染实现远程代码执行,并进一步入侵 AWS 资源。目前已有公开的概念验证(PoC)攻击代码,官方已发布补丁,所有用户必须立即更新。

攻击机制与风险

该漏洞源于 AxiosHeaders.set 方法对 CR 和 LF 字符的校验不足。当被污染的 Object 原型属性未经过滤传入 HTTP 头部时,将导致 CRLF 注入。

攻击链通常始于对 qs、minimist 或 body-parser 等依赖项的入侵。一旦 Object.prototype 被污染,Axios 将继承这些恶意属性,从而引发非法头部注入和 HTTP 请求拆分。最终,攻击者可访问位于 169.254.169.254 的 AWS 实例元数据服务(IMDS)。

Google AdInline article slot

对云环境的影响:

  • 通过 PUT 请求窃取临时 IAM 凭据。
  • 在整个基础设施中横向提权。
  • 完全控制微服务与容器实例。

该漏洞影响广泛:在俄语互联网扫描的约 20,000 个活跃主机中,近 39% 存在风险。由于许多后端服务未公开暴露,实际受影响数量可能更高。

受侵迹象

日志监控有助于及早发现攻击行为。需重点关注以下异常信号:

Google AdInline article slot
  • 针对 169.254.169.254 的异常 PUT 请求。
  • 请求头中出现 __proto__constructor.prototype 操作。
  • 请求中包含 %0d%0a\r\n 等 CRLF 序列。
  • 来自非预期 IP 地址的 IAM 凭据被非法使用。
  • Node.js 应用中频繁出现头部解析错误或 HTTP 500 响应。

缓解措施与背景

原型污染是一种利用 JavaScript 动态特性的常见攻击手法。在 npm 生态中,像 Axios 这样每周下载量超 6000 万次的流行库一旦存在漏洞,将对数百万应用构成系统性风险。

根本原因: HTTP 头部输入缺乏严格校验。这反映出软件供应链中的普遍问题——第三方依赖的隐患往往悄无声息地传播。

行业影响: CVSS 3.1 评分高达 9.9–10.0,表明其对云服务商构成极高威胁。类似 Log4Shell 事件曾证明,局部漏洞可能迅速演变为全球性危机。

Google AdInline article slot

建议采取以下措施:

  • 立即升级至 Axios 1.15.0 版本,该版本引入了 assertValidHeaderValue 校验机制。
  • 使用 npm audit 和软件成分分析(SCA)工具全面审计依赖项。
  • 通过网络策略和安全组限制对 IMDS 的访问。
  • 配置 WAF 规则以拦截可疑请求模式。

核心要点

  • 该漏洞结合原型污染与 CRLF 注入实现 RCE,直接危及 AWS 工作负载。
  • 所有低于 1.15.0 的版本均受影响;公开 PoC 自 2026 年 4 月 10 日起已存在。
  • 超过三分之一的扫描主机仍暴露在外,低估风险将带来严重后果。
  • 补丁虽已发布,但需确保整个依赖链完成验证。
  • 更深层启示:凸显云环境中构建零信任架构的紧迫性。

— Editorial Team

Advertisement 728x90

继续阅读