文章总结： AxiosHTTP客户端库存在严重漏洞CVE-2026-40175（CVSS9.9），攻击者可通过污染Object.prototype注入恶意头部，结合SSRF和请求走私实现AWSIMDSv2绕过，导致云元数据窃取和远程代码执行。影响1.13.2之前版本，建议立即升级至1.15.0+以修复头部净化缺陷。 综合评分： 85 文章分类： 漏洞分析,供应链安全,云安全,WEB安全,解决方案

Axios 严重漏洞可导致 RCE

Abinaya Abinaya

代码卫士

2026年4月14日 18:16 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

使用最为广泛的 HTTP 客户端库之一 Axios中存在一个严重安全漏洞CVE-2026-40175（CVSS评分9.9）可导致应用程序面临远程代码执行（RCE）风险，并可能使整个云基础设施遭攻击。该漏洞可导致攻击者绕过 AWS IMDSv2 安全控制，从而窃取敏感的云元数据。

该漏洞由安全研究员 raulvdv 发现，随后由 jasonsaayman 公开发布了概念验证。

攻击链

该漏洞的根本原因在于 axios npm 包中通过头部注入链实现的无限制云元数据窃取漏洞。

安全公告提到，该漏洞的核心问题存在于该库的头部处理组件中，具体位于 lib/adapters/http.js 文件内，与HTTP 头部完全缺乏净化处理（CWE-113）相关。当与默认存在的服务器端请求伪造（SSRF）能力（CWE-918）及请求走私（CWE-444）相结合时，形成了一个高度可利用的攻击向量。该漏洞之所以特别危险，是因为无需任何用户直接输入，整个利用过程完全依赖于一条“Gadget” 攻击链。

如果攻击者通过应用程序技术栈中的任何其它第三方依赖（例如 body-parser、qs 或 minimist）成功污染了 Object.prototype，则 Axios 会在其配置阶段自动合并这些被污染的属性。由于 Axios 未能对这些合并后的值进行回车换行 (CRLF) 字符的净化处理，该属性便会转化为一个极具破坏性的 HTTP 请求走私载荷。

已发布的概念验证演示了一个针对云环境的严重攻击场景。当开发者发起一个完全安全的、硬编码的出站请求时，Axios 会无意中将被污染的原型属性（例如x-amz-target）合并到请求头部中。这些恶意头部随后被直接写入套接字，而未经任何结构性验证。这就使得攻击者能够走私一个指向 AWS EC2 元数据服务（地址为 169.254.169.254）的次级 PUT 请求。该被走私的请求包含了必需的 X-aws-ec2-metadata-token-ttl-seconds头部，从而成功绕过了 AWS IMDSv2 的会话令牌保护机制。随后，攻击者可以检索到有效的会话令牌，窃取 IAM 凭证，并实现完整的云账户接管，同时还会引发诸如认证绕过和缓存投毒等次级影响。

受影响版本与修复措施

该漏洞影响范围广泛，涵盖了旧有分支和现代分支中的大量 Axios 部署。所有 1.13.2 版本之前的 Axios 版本均明确易受此 Gadget 攻击链的影响。为了缓解这一严重威胁，开发团队必须立即将 Axios 依赖项升级至 1.15.0 或更高版本。补丁通过在对所有头部值传递到底层请求函数之前实施严格校验，修复了该漏洞。如更新后的库检测到任何无效的 CRLF 字符，它将立即抛出安全错误，从而有效阻断注入链，阻止请求走私攻击。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

Axios npm 包遭投毒，发动供应链攻击

Marimo 高危预认证 RCE 漏洞已遭活跃利用

Progress ShareFile 漏洞可用于发动预认证 RCE 攻击

Grafana 多个严重漏洞可用于实现 RCE

原文链接

Critical Axios Vulnerability Enables Remote Code Execution, PoC Released

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Abinaya Abinaya《Axios 严重漏洞可导致 RCE》