CVE-2026-44487— Axios 安全漏洞
Possible ATT&CK Techniques 1AI
T1557 · Adversary-in-the-Middle新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-44487の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Axios: Proxy-Authorization Credential Leak to Origin Server Across HTTP-to-HTTPS Redirect in Axios Node.js HTTP Adapter
ソース: NVD (National Vulnerability Database)
脆弱性説明
Axios is a promise based HTTP client for the browser and Node.js. Prior to 0.32.0 and 1.16.0, Axios’s Node.js HTTP adapter may forward a Proxy-Authorization header to a redirected origin during specific proxy-to-direct redirect flows. This affects Node.js usage, where an initial HTTP request is sent through an authenticated HTTP proxy, redirects are followed, and the redirected URL is no longer proxied. Under affected redirect shapes, the final origin can receive the proxy credential that was intended only for the outbound proxy. This vulnerability is fixed in 0.32.0 and 1.16.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
通过发送数据的信息暴露
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Axios 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Axios是Axios开源的一款基于Promise(异步编程的一种解决方案)的HTTP客户端。 Axios 0.32.0之前版本和1.16.0之前版本存在安全漏洞,该漏洞源于Node.js HTTP适配器在特定代理到直接重定向流程中可能将Proxy-Authorization标头转发到重定向源,可能导致最终源接收代理凭据。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-44487の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-44487のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-44487 厂商安全公告 (1)
Same Patch Batch · axios · 2026-06-11 · 9 CVEs total
| CVE-2026-44494 | 8.7 HIGH | Axios: Full Man-in-the-Middle via Prototype Pollution Gadget in `config.proxy` |
| CVE-2026-44492 | 8.6 HIGH | Axios: shouldBypassProxy does not recognize IPv4-mapped IPv6 addresses, allowing NO_PROXY |
| CVE-2026-44488 | 7.5 HIGH | Axios: Allocation of Resources Without Limits or Throttling in axios |
| CVE-2026-44496 | 7.5 HIGH | Axios: Regular Expression Denial of Service (ReDoS) via Cookie Name Injection |
| CVE-2026-44486 | 7.5 HIGH | Axios: Proxy-Authorization header leaks to redirect target when proxy is re-evaluated to d |
| CVE-2026-44495 | 7.0 HIGH | Axios: Credential Theft and Response Hijacking via Prototype Pollution Gadget in Config Me |
| CVE-2026-44490 | 4.8 MEDIUM | Axios: DoS & Header Injection via Prototype Pollution Read-Side Gadgets in axios merge fun |
| CVE-2026-44489 | 3.7 LOW | Axios: Proxy-Authorization Header Injection via Prototype Pollution — Incomplete Null-Prot |
IV. 関連脆弱性
同じ製品: axios
- CVE-2026-44486
Axios: Proxy-Authorization header leaks to redirect target w - CVE-2026-44488
Axios: Allocation of Resources Without Limits or Throttling - CVE-2026-44490
Axios: DoS & Header Injection via Prototype Pollution Read-S - CVE-2026-44496
Axios: Regular Expression Denial of Service (ReDoS) via Cook - CVE-2026-44495
Axios: Credential Theft and Response Hijacking via Prototype
同じベンダー: axios
- CVE-2026-44486
Axios: Proxy-Authorization header leaks to redirect target w - CVE-2026-44488
Axios: Allocation of Resources Without Limits or Throttling - CVE-2026-44490
Axios: DoS & Header Injection via Prototype Pollution Read-S - CVE-2026-44496
Axios: Regular Expression Denial of Service (ReDoS) via Cook - CVE-2026-44495
Axios: Credential Theft and Response Hijacking via Prototype
同じ弱点: CWE-201
- CVE-2026-22551
Eclipse Theia <1.71.0信息泄露漏洞 - CVE-2024-35690
WordPress Widget Options plugin <= 4.0.1 - Subscriber+ User - CVE-2026-52698
WordPress PushEngage – Web Push Notifications, eCommerce Aut - CVE-2026-34888
WordPress Bricksforge plugin <= 3.1.8.4 - Sensitive Data Exp - CVE-2026-27868
PUBLICATION OF SENSITIVE INFORMATION ON REGESTA SMART HD-PLC
V. CVE-2026-44487へのコメント
まだコメントはありません