JavaScript HTTP用戶端程式庫Axios存在高風險DoS漏洞,攻擊者可癱瘓伺服器
漏洞簡介
常用JavaScript HTTP用戶端程式庫Axios被揭露存在拒絕服務(DoS)漏洞CVE-2026-25639。漏洞成因是Axios在合併請求設定時,當遇到包含__proto__且被視為自有屬性的設定物件,程式會丟出TypeError並直接崩潰,進而讓服務中斷。
攻擊方式與風險
- 攻擊者可透過特製的__proto__欄位觸發Axios的崩潰,導致Node.js伺服器進程中斷。
- 當攻擊者能影響設定物件內容時,即可透過惡意請求引發伺服器癱瘓。
- 受影響範圍為Axios的特定版本,並非所有使用Axios的服務皆暴露在同等風險下。
相關漏洞與公告
- CVE-2025-58754:攻擊者可透過濫用Axios處理data: URL的方式,導致Node.js進程崩潰,CVSS評分為7.5。
- CSRF資訊洩露:Axios因自動注入`XSRF-TOKEN`導致敏感資訊外洩,為另一項高風險問題。
- DoS攻擊:因未限制`data:` URI的記憶體分配,可能引發記憶體溢位(OOM)崩潰。
補救建議
開發者應確保Axios版本為最新,並在使用時對請求設定物件進行嚴格驗證,避免傳入包含__proto__的惡意資料。