近日,一个高危安全漏洞 (CVE-2026-25639) 在全球广泛使用的 HTTP客户端 库 Axios 中被发现,其 CVSS 评分为 7.5。该漏洞的触发点位于核心配置合并函数 mergeConfig 中:当函数处理包含 __proto__ 自有属性的配置对象时,会引发 TypeError 错误,从而导致 Node.js 进程直接崩溃。
哪些场景会受到影响呢?主要包括以下两类:
- 使用 Axios 的 Node.js 服务端应用;
- 应用程序接收用户输入,并通过
JSON.parse() 进行解析,然后将解析结果作为配置参数传入 Axios。
攻击者利用此漏洞的门槛相对较低。他们只需构造一个类似 {"__proto__": {"x": 1}} 的恶意 JSON 载荷。一旦这个载荷被目标服务的 JSON.parse() 解析并作为配置传递给 Axios,即可立即触发服务拒绝(DoS),致使整个应用不可用,必须通过人工干预重启才能恢复。
对于开发者而言,及时升级依赖是当前最紧要的任务。Axios 维护团队已经发布了修复版本 1.13.4,强烈建议所有开发者立即将项目中的 Axios 升级至 1.13.4 或更高版本(例如 1.13.5),以彻底规避因该漏洞导致的潜在服务中断风险。
如果你想了解更多关于安全漏洞的细节与防护,可以在 云栈社区 的技术安全板块找到更多深度讨论。
关键信息参考来源:
- 漏洞编号:CVE-2026-25639
- 修复版本:Axios 官方发布的 1.13.4 版本
- 评分标准:CVSS(通用漏洞评分系统)评分 7.5
| 
发表于 2026-2-11 17:21:56
|
查看: 59|
回复: 0
