Банк данных угроз безопасности информации (BDU) подтвердил и опубликовал подробности о критической уязвимости в библиотеке Axios, широко используемой для выполнения HTTP-запросов в JavaScript-приложениях. Уязвимость, получившая идентификаторы BDU:2026-05270 и CVE-2026-40175, затрагивает все версии библиотеки до 1.15.0. Её эксплуатация позволяет удалённому злоумышленнику обходить механизмы безопасности и атаковать серверные системы. Данная проблема была подтверждена производителем, а также существуют общедоступные эксплойты для неё, что значительно повышает актуальность срочного обновления.
Детали уязвимости
Суть уязвимости заключается в некорректной обработке управляющих последовательностей CRLF (Carriage Return Line Feed) в HTTP-заголовках. Технически, это относится к классу уязвимостей, известных как HTTP Response Splitting и HTTP Request Smuggling. Проще говоря, атакующий может внедрить специальные символы перевода строки в заголовки запросов, отправляемых через Axios. В результате, эти запросы могут быть неправильно интерпретированы сервером или промежуточными прокси-системами. Например, злоумышленник может сформировать один вредоносный запрос, который на сервере будет воспринят как два отдельных. Это открывает возможности для атак, включая обход аутентификации, кражу данных пользователей или выполнение несанкционированных действий от имени приложения.
Уровень опасности классифицирован как критический. Базовые оценки по шкалам CVSS 2.0 и CVSS 3.1 достигают максимального значения 10.0. Такой высокий балл обусловлен несколькими факторами. Во-первых, для эксплуатации не требуются никакие специальные привилегии или действия со стороны пользователя. Во-вторых, атака может осуществляться удалённо через сеть. В-третьих, успешная эксплуатация может привести к полной компрометации конфиденциальности, целостности и доступности целевой системы. Следовательно, угроза является серьёзной для тысяч приложений, использующих устаревшие версии Axios.
Производитель, NPM, Inc., уже устранил проблему. Выпуск версии 1.15.0 содержит необходимые исправления, обеспечивающие корректную валидацию и санитизацию HTTP-заголовков. Разработчикам настоятельно рекомендуется немедленно обновить Axios до актуальной версии во всех своих проектах. Ссылка на официальный релиз приведена в описании уязвимости. Важно отметить, что обновление является единственным надёжным способом полного устранения данной уязвимости.
В случае, если мгновенное обновление по каким-либо причинам невозможно, эксперты BDU рекомендуют рассмотреть комплекс компенсирующих мер. Эти меры не устраняют уязвимость, но могут усложнить или предотвратить её эксплуатацию. Прежде всего, следует настроить строгую валидацию HTTP-заголовков на стороне сервера. Кроме того, эффективным инструментом защиты может стать WAF, способный обнаруживать и блокировать аномальные запросы с последовательностями CRLF. Также целесообразно использовать системы обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга сетевого трафика на предмет попыток атак. Дополнительная безопасность достигается ограничением доступа к уязвимым компонентам только из доверенных сетей и применением политик минимальных привилегий.
Особое внимание в рекомендациях BDU уделяется вопросам установки обновлений в текущих геополитических условиях. В документе указано, что в связи с международными санкциями обновления программного обеспечения следует устанавливать только после тщательной оценки всех сопутствующих рисков. Это важное напоминание для российских организаций о необходимости выверенной политики управления обновлениями и зависимости от доверенных источников.
Данный инцидент с Axios служит очередным напоминанием о критической важности своевременного обновления зависимостей в современной веб-разработке. Библиотеки, являющиеся фундаментом для миллионов приложений, становятся приоритетными целями для киберпреступников и исследователей безопасности. Уязвимости в таких инструментах, как Axios, имеют широкий радиус воздействия. Следовательно, регулярный аудит зависимостей и оперативное применение патчей должны быть неотъемлемой частью жизненного цикла разработки любого программного обеспечения. Игнорирование подобных предупреждений может привести к серьёзным инцидентам безопасности, включая утечки данных и финансовые потери.
Ссылки
- https://bdu.fstec.ru/vul/2026-05270
- https://www.cve.org/CVERecord?id=CVE-2026-40175
- https://github.com/axios/axios/releases/tag/v1.15.0
- https://github.com/axios/axios/security/advisories/GHSA-fvcv-3m26-pcqx
