Axiosライブラリのヘッダー注入(CRLF)を悪用したクラウドサーバー権限奪取の脆弱性
(github.com/axios)この脆弱性は、攻撃者がAWSのようなクラウドサーバーの管理者権限を奪取できるようにする致命的なバグです。
攻撃の連鎖(Chain): この攻撃はAxios単体では成立しません。あなたのプロジェクトにインストールされた**別のライブラリに脆弱性(プロトタイプ汚染)**がある場合、攻撃者はそれを踏み台にしてAxiosを武器(Gadget)のように悪用します。
ヘッダー注入およびリクエスト・スマグリング(Request Smuggling): 攻撃者が特殊な改行文字(\r\n)を悪用すると、開発者が書いた安全なAxiosリクエストコードの後ろに、攻撃者が作成した悪意あるリクエストを密かに忍ばせて一緒に送信できます。(これはAxiosがヘッダー内の改行文字を適切にフィルタリングしていないために発生します。)
致命的な結果: 攻撃者はこの隠されたリクエストをクラウド内部ネットワーク(AWSメタデータサービス)へ送信し、クラウドのセキュリティ機構(IMDSv2)を回避して、クラウドアカウント全体を制御できる認証キー(IAM認証情報)を盗み出すことができます。
2件のコメント
しばらく更新なしでも安定して運用されていたaxiosが、いったい何度目のアップデートなのか分かりませんね……あのlodashもアップデートしていましたし……
*Severity: Critical (CVSS 9.9)
**影響を受けるバージョン: すべてのバージョン (v0.x - v1.x)