JavaScript HTTP用戶端程式庫Axios存在高風險DoS漏洞,攻擊者可癱瘓伺服器
漏洞簡介
常用JavaScript HTTP用戶端程式庫Axios被揭露存在拒絕服務(DoS)漏洞CVE-2026-25639。漏洞成因是Axios在合併請求設定時,當遇到包含__proto__且被視為自有屬性的設定物件,程式會丟出TypeError並直接崩潰,進而讓服務中斷。
攻擊方式與風險
- 攻擊者可透過特製的__proto__欄位觸發Axios的崩潰,導致Node.js伺服器進程中斷。
- 當攻擊者能影響設定物件內容時,即可透過惡意請求引發伺服器癱瘓。
- 受影響範圍為Axios的特定版本,並非所有使用Axios的服務皆暴露在同等風險下。
相關漏洞與公告
- CVE-2025-58754:攻擊者可透過濫用Axios處理data: URL的方式,導致Node.js進程崩潰,CVSS評分為7.5。
- 該漏洞與Axios處理資料格式的記憶體缺陷有關,屬於高風險DoS攻擊。
- 相關資訊來自iThome、安全部門與技術論壇,顯示此問題已持續多年,並多次被提及。
後續建議
開發者應定期更新Axios至最新版本,並在設定請求時進行嚴格驗證,避免使用可能觸發__proto__屬性的物件結構。