Critical Axios Vulnerability Enables Remote Code Execution, PoC Released
2026/04/13 gbhackers — 広く利用される HTTP クライアント・ライブラリ Axios で深刻なセキュリティ脆弱性が発見され、リモートコード実行 (RCE) およびクラウド・インフラ全体への侵害の恐れが生じている。脆弱性 CVE-2026-40175 (CVSS3.1:9.9:Critical) を悪用する攻撃者は、AWS IMDSv2 の保護を回避し、機密クラウド・メタデータを窃取可能となる。この問題は研究者 raulvdv により発見され、jasonsaayman により公表され、すでに Proof of Concept (PoC) も公開されている。
ガジェット攻撃チェーン
この脆弱性は、クラウド・メタデータの無制限な取得を許す欠陥であり、axios npm パッケージ内のヘッダ・インジェクション・チェーンに起因する。
問題の核心は、”lib/adapters/http.js” における HTTP ヘッダ処理時のサニタイズの完全な欠如 (CWE-113) にある。この脆弱性が、Server-Side Request Forgery (SSRF) (CWE-918) やリクエスト・スマグリング (CWE-444) と組み合わされると、きわめて悪用しやすい攻撃経路が形成される。
特に危険なのは、この攻撃が直接的なユーザー入力を必要としない点である。このエクスプロイトはガジェット・チェーンに依存するものだ。
この攻撃により、body-parser/qs/minimist などのライブラリ経由で Object.prototype が汚染 (ポイズニング) されると、Axios のコンフィグ・フェーズで、それらの値が自動的にマージされる。これらの値に対して、Axios は改行コード (CRLF) の検証を行わないため、結果として HTTP リクエスト・スマグリング・ペイロードへと変換されてしまう。
公開された PoC は、クラウド環境における深刻な攻撃シナリオを示している。安全な固定リクエストを送信するように、開発者が設計している場合であっても、汚染されたプロパティ (例: x-amz-target) がヘッダに混入する。これらの悪意のヘッダは、検証なしにソケットへと書き込まれる。
その結果、攻撃者は AWS EC2 Metadata Service (169.254.169.254) を対象とする二次的な PUT リクエストを密かに送信できる。このリクエストには、X-aws-ec2-metadata-token-ttl-seconds ヘッダが含まれるため、IMDSv2 のセッション・トークンによる保護が無効化される。
それにより、有効なセッション・トークンを取得した攻撃者は、IAM 認証情報の窃取およびクラウド・アカウントの完全侵害を実現する。さらに、認証回避やキャッシュ・ポイズニングといった二次的な影響も発生する。
影響範囲と対策
この脆弱性が影響を及ぼす範囲は、Axios のバージョン 1.13.2 未満である。開発チームにとって必要なことは、Axios をバージョン 1.15.0 以降へと速やかにアップデートし、この深刻な脅威を軽減することだ。
修正バージョンでは、リクエストを送信する前の時点で、すべてのヘッダ値に対して厳格な検証が実施される。不正な CRLF 文字が検出された場合には、セキュリティ・エラーが発生するため、インジェクション・チェーンおよびリクエスト・スマグリング攻撃が防止される。
訳者後書:この問題の原因は、 HTTP クライアント・ライブラリである Axios の内部で、ヘッダに含まれる改行コード (CRLF) に対するチェックの欠如にあります。汚染されたコンフィグが Axios に取り込まれると、本来は送信されるはずのない偽のリクエストが既存の通信に紛れ込み、AWS などのクラウド環境を保護する IMDSv2 が無効化されてしまいます。その結果、クラウドの管理者権限が盗み取られ、インフラ全体が乗っ取られる恐れがあります。このように複数の小さな問題が連鎖して、大きな被害を生むため、厳格な入力検証が不可欠となります。ご利用のチームは、ご注意ください。よろしければ、Axios での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.