JavaScript HTTP用戶端程式庫Axios存在高風險DoS漏洞,攻擊者可癱瘓伺服器
漏洞簡介
常用JavaScript HTTP用戶端程式庫Axios被揭露存在拒絕服務(DoS)漏洞CVE-2026-25639。漏洞成因是Axios在合併請求設定時,當遇到包含__proto__且被視為自有屬性的設定物件,程式會丟出TypeError並直接崩潰,進而讓服務中斷。
攻擊方式與風險
- 攻擊者可透過特製的__proto__欄位觸發Axios的崩潰,導致伺服器中斷。
- 當攻擊者能影響設定物件內容時,即可誘發此類DoS攻擊。
- 受影響範圍為Axios的特定版本,並非所有使用Axios的服務皆暴露在同等風險下。
相關漏洞與補強建議
- 另一個相關漏洞CVE-2025-58754,攻擊者可透過濫用Axios處理data: URL的方式,導致Node.js進程崩潰,CVSS評分為7.5。
- Axios近期曝出CSRF資訊洩露與DoS攻擊高危漏洞,其中DoS漏洞因未限制data: URI的記憶體分配,引發記憶體溢位(OOM)崩潰。
- 建議開發者在使用Axios時,應對設定物件進行嚴格驗證,並避免傳遞可能包含惡意__proto__或data: URI的內容。