Node.js 模組 axios 1.x < 1.16.0 原型污染代理 MITM (CVE-2026-44494)

high Nessus Plugin ID 318803

概要

Node.js JavaScript 執行階段環境中的一個模組受到一個攔截式攻擊弱點影響。

說明

遠端主機上安裝的 Node.js 模組為 1.16.0 之前的 1.x。因此,該應用程式受到以下弱點影響:

- config.proxy 中的原型污染小工具允許將應用程式相依性樹狀結構中的任何 Object.prototype 污染情形升級為全面攔截式攻擊。HTTP 介面卡會透過能夠遊走原型鏈的標準屬性存取權限來讀取 config.proxy。由於 Axios 預設中不存在代理,因此合併的組態物件沒有專屬代理屬性,故而可透過原型污染使其可供插入。插入後,setProxy() 會透過攻擊者的代理伺服器路由所有 HTTP 請求,從而攔截憑證並篡改回應。(CVE-2026-44494)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

將 Axios 升級為 1.16.0 或以上版本。

另請參閱

https://github.com/advisories/GHSA-35jp-ww65-95wh

Plugin 詳細資訊

嚴重性: High

ID: 318803

檔案名稱: nodejs_module_axios_GHSA-35jp-ww65-95wh.nasl

版本: 1.3

類型: Local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2026/6/5

已更新: 2026/6/15

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.1

CVSS v2

風險因素: High

基本分數: 7.1

時間性分數: 5.6

媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:N

CVSS 評分資料來源: CVE-2026-44494

CVSS v3

風險因素: High

基本分數: 8.7

時間性分數: 7.8

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: cpe:/a:axios:axios

必要的 KB 項目: installed_sw/Node.js, Host/nodejs/modules/enumerated

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2026/5/29

弱點發布日期: 2026/5/29

參考資訊

CVE: CVE-2026-44494

IAVA: 2026-A-0534