60 миллионов загрузок в неделю — и критическая дыра. Уязвимость в Axios открывает путь к AWS-токенам и захвату облака
NewsMakerPoC уже на GitHub, патч уже есть.
Уязвимость в библиотеке Axios может помочь атакующему довести загрязнение прототипа в сторонних зависимостях до удаленного выполнения кода и компрометации облачной среды. Проблема получила идентификатор CVE-2026-40175, а 10 апреля 2026 года сведения о ней стали публичными.
По данным «СайберОК» , в Рунете доступно до 20 000 активных хостов, и около 39% содержат потенциально уязвимые версии Axios. При этом фактическое распространение может быть заметно шире, поскольку библиотека часто используется внутри микросервисов и контейнеров.
Сценарий атаки строится как цепочка. Сначала злоумышленник загрязняет
Дальше цепочка может привести к обращению к AWS IMDS. Через инъекцию и перенаправление запросов атакующий способен отправить PUT-запрос для получения токена, а затем прочитать метаданные. В результате появляется доступ к IAM-токенам и возможность повысить привилегии в облачной инфраструктуре.
Уязвимость в библиотеке Axios может помочь атакующему довести загрязнение прототипа в сторонних зависимостях до удаленного выполнения кода и компрометации облачной среды. Проблема получила идентификатор CVE-2026-40175, а 10 апреля 2026 года сведения о ней стали публичными.
По данным «СайберОК» , в Рунете доступно до 20 000 активных хостов, и около 39% содержат потенциально уязвимые версии Axios. При этом фактическое распространение может быть заметно шире, поскольку библиотека часто используется внутри микросервисов и контейнеров.
Сценарий атаки строится как цепочка. Сначала злоумышленник загрязняет
Object.prototype через уязвимые зависимости, среди которых упоминаются qs, minimist и body-parser. Затем Axios наследует загрязненные свойства и добавляет их в заголовки без проверки символов перевода строки. Такой механизм открывает путь к CRLF-инъекции, внедрению произвольных заголовков и разделению HTTP-запросов. Дальше цепочка может привести к обращению к AWS IMDS. Через инъекцию и перенаправление запросов атакующий способен отправить PUT-запрос для получения токена, а затем прочитать метаданные. В результате появляется доступ к IAM-токенам и возможность повысить привилегии в облачной инфраструктуре.