Axios-Schwachstelle CVE-2026-40175: Header-Injection als Einfallstor in Cloud-Infrastrukturen

Wer die JavaScript-Bibliothek Axios in Node.js-Anwendungen einsetzt, sollte diese Meldung aufmerksam lesen. In allen Versionen von 0.x bis 1.x vor den Patches 0.31.0 bzw. 1.15.0 fehlt eine grundlegende Prüfung: Header-Werte werden nicht auf CRLF-Zeichen (\r\n) geprüft, bevor sie an den Socket übergeben werden. Das klingt zunächst technisch und harmlos – hat aber weitreichende Konsequenzen.

Das eigentlich Beunruhigende an dieser Lücke ist ihr Gadget-Charakter. Axios muss nicht direkt angegriffen werden. Es genügt, wenn irgendwo im Abhängigkeitsstack eine Prototype-Pollution-Lücke ausgenutzt wird – etwa in weit verbreiteten Bibliotheken wie qs, minimist oder body-parser. Gelingt es einem Angreifer, Object.prototype mit einem präparierten Header-Wert zu versehen, übernimmt Axios diesen automatisch beim Zusammenführen der Request-Konfiguration. Anschließend landet ein vollständig geschmuggelter HTTP-Request im ausgehenden Traffic – ohne dass der Anwendungscode selbst etwas Unsicheres tut.

Im konkreten Angriffsszenario lässt sich damit der AWS Instance Metadata Service (IMDSv2) ansprechen, der eigentlich gegen SSRF-Angriffe abgesichert ist. Weil Axios die injizierten Header ungefiltert weitergibt, kann ein Angreifer einen gültigen PUT-Request mit dem nötigen X-aws-ec2-metadata-token-ttl-seconds-Header einschmuggeln – und erhält im Gegenzug ein Session-Token, mit dem sich IAM-Credentials stehlen lassen. Dasselbe Muster funktioniert auch für Authorization-Header, Cookies oder Cache-Poisoning-Angriffe.

Offiziell wird der CVSS-Score mit 6.5 (Moderate) angegeben, was angesichts der möglichen Folgen – vollständige Cloud-Kompromittierung – deutlich zu niedrig wirkt. Der Entdecker selbst bewertet die Lücke mit CVSS 9.9.

Wer ist betroffen? Jede Node.js-Anwendung, die Axios nutzt und gleichzeitig eine Prototype-Pollution-anfällige Abhängigkeit im Stack hat. npm ls axios zeigt die verwendete Version; npm audit listet bekannte Lücken im gesamten Dependency-Tree.

Empfehlung: Update auf Axios 1.15.0 oder 0.31.0 – und parallel npm audit ausführen, um Prototype-Pollution-Risiken im restlichen Stack zu identifizieren.

Originalquelle: GitHub Advisory GHSA-fvcv-3m26-pcqx

Related Posts

Kritische SicherheitslĂĽcke in GitHub: CodeausfĂĽhrung per git push (CVE-2026-3854)

Wiz Research hat Ende März eine schwerwiegende Schwachstelle in der internen Git-Infrastruktur von GitHub entdeckt und verantwortungsvoll gemeldet. Die Lücke erlaubte es jedem angemeldeten Nutzer, mit einem einzigen git push-Befehl beliebigen Code auf GitHubs Backend-Servern auszuführen – ohne spezielle Werkzeuge, nur mit einem normalen Git-Client.

Read More

Schwere Sicherheitslücke im Apache Webserver ermöglicht Systemabsturz und Codeausführung

Die Apache Software Foundation hat ein Update für ihren weit verbreiteten HTTP Server veröffentlicht, das eine kritische Schwachstelle schließt. CVE-2026-23918 (CVSS 8.8) betrifft ausschließlich Apache HTTP Server 2.4.66 mit aktiviertem HTTP/2-Modul (mod_http2). Ein Angreifer kann mit nur zwei Netzwerkpaketen, ohne Authentifizierung, den Serverprozess zum Absturz bringen (Denial of Service). Unter bestimmten Systemkonfigurationen – konkret wenn der APR-mmap-Allocator aktiv ist, was auf Debian, Ubuntu und im offiziellen Docker-Image standardmäßig der Fall ist – ist sogar die Ausführung von beliebigem Code nachweislich möglich. Forscher haben einen funktionierenden Exploit demonstriert. Der klassische prefork-Modus ist nicht betroffen; wer jedoch worker oder event als MPM einsetzt, ist verwundbar.

Read More

Apache HTTP Server: HTTP/2-Lücke ermöglicht Remote Code Execution

In Apache HTTP Server 2.4.66 wurde eine Double-Free-Schwachstelle im HTTP/2-Stack entdeckt. Das bedeutet: Ein bereits freigegebener Speicherbereich wird ein zweites Mal freigegeben, was zu korruptem Heap-Speicher führt. Im schlimmsten Fall lässt sich darüber beliebiger Code auf dem Server ausführen – ein klassischer Remote-Code-Execution-Angriff. Der Auslöser ist ein früher Reset einer HTTP/2-Verbindung, ein Muster das Angreifer gezielt herbeiführen können. Mit CVSS 8.8 und dem technischen Impact „total" stuft auch die US-Behörde CISA die Lücke als ernstzunehmend ein, auch wenn bisher keine aktive Ausnutzung bekannt ist.

Read More