CVE-2026-40175 — 神龙十问 AI 深度分析摘要
CVSS 4.8 · Medium
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
- **本质**:Axios 存在**请求头注入链**漏洞 🚨 - **后果**:可**无限制窃取云元数据** → 敏感信息全泄露 💥 - 攻击可跨作用域影响其他服务 🌐
Q2根本原因?(CWE/缺陷点)
- **根本原因**:**HTTP 请求头注入**缺陷 🔍 - 未正确过滤用户输入 → 构造恶意 Header - 类似 **CWE-113**(HTTP 响应头注入)思路
Q3影响谁?(版本/组件)
- **影响组件**:Axios(JS HTTP 客户端)📦 - **影响版本**:≤ v1.14.x(v1.15.0 已修复)✅ - 使用 Axios 发起外部请求的应用均可能中招 ⚠️
Q4黑客能干啥?(权限/数据)
- **权限要求**:无需登录 🚪`PR:N` - **可获数据**:云环境**元数据**(如密钥、凭证)🔑 - 导致**完全控制云资源**风险 💀
Q5利用门槛高吗?(认证/配置)
- **利用门槛**:极低 🟢 - `AV:N`(网络可达)+ `UI:N`(无需交互) - 无需特殊配置或认证 🧩
Q6有现成Exp吗?(PoC/在野利用)
- **现成 Exp**:暂无公开 PoC 📭 - `pocs` 列表为空 🔍 - 无明确在野利用报告 🕵️
Q7怎么自查?(特征/扫描)
- **自查特征**:检查是否用 Axios ≤ v1.14.x 🔎 - 搜索代码有无**拼接 Header** 逻辑 ⚙️ - 监控异常外部请求(含元数据 URL)📡
Q8官方修了吗?(补丁/缓解)
- **官方已修** ✅ - 见 commit [`3631854`](https://github.com/axios/axios/commit/363185461b90b1b78845dc8a99a1f103d9b122a1) 🛠️ - 发布 v1.15.0 修复 📦 - 安全公告:[GHSA-fvcv-3m26-pcqx](https://github.com/axios/axios/security/advisori…
Q9没补丁咋办?(临时规避)
- **升级 Axios** ≥ v1.15.0 🚀 - 若无法升级:严格过滤用户输入 → 禁自定义 Header 拼接 🚫 - 限制请求目标范围 🌐
Q10急不急?(优先级建议)
- **优先级**:🔥 极高! - CVSS 3.1:**9.0+**(`C:H/I:H/A:H`) - 云环境必修 🏃♂️💨 - 早修 = 少丢数据 💡