Origine : bjCSIRT
Numéro : 2026/ALERTE/026
APERÇU :
Une vulnérabilité critique affectant Axios permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire à distance sur les systèmes affectés.
DESCRIPTION
Axios est une bibliothèque javascript permettant d’effectuer facilement des requêtes HTTP, à la fois dans le navigateur et dans les applications node.js. Il sert principalement à communiquer avec des API, en simplifiant l’envoi et la réception de données (souvent en JSON), la gestion des erreurs, la configuration des requêtes et l’authentification. C’est l’une des bibliothèques les plus utilisées, avec 100 millions de téléchargement hebdomadaire.
Cette solution est affectée par une vulnérabilité libellée CVE-2026-40175 résultant d’un défaut de sanitisation des en-têtes HTTP combiné aux fonctionnalités natives de type SSRF (Server-Side Request Forgery) de la bibliothèque. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire à distance sur les systèmes affectés ou de compromettre totalement une infrastructure cloud via un contournement du mécanisme de protection AWS IMDSv2.
Elle est classée critique avec un score de sévérité de 10.0 selon le CVSS V3.1.
IMPACT
- Exécution de code arbitraire à distance ;
- Compromission de l’intégrité du système ;
- Atteinte à la confidentialité et à la disponibilité des données ;
- Compromission totale d’infrastructures cloud.
SYSTÈMES AFFECTÉS :
Les versions de Axios antérieures à la version 1.15.0.
MESURES À PRENDRE :
Mettre à jour Axios vers sa dernière version stable.
RÉFÉRENCES :