¿Qué es CVE-2026-25639?

CVE-2026-25639 es una vulnerabilidad de denegación de servicio en Axios que ocurre al procesar objetos de configuración que contienen `__proto__` como una propiedad propia. Un atacante puede desencadenar esta vulnerabilidad proporcionando un objeto de configuración malicioso, lo que provoca que la aplicación se bloquee. Actualice a la versión 1.13.5 o posterior para resolver este problema.

¿Cómo funciona la vulnerabilidad DoS de Axios?

La vulnerabilidad existe en la función `mergeConfig` de Axios. Cuando se procesa un objeto de configuración con `__proto__` como una propiedad propia, conduce a un TypeError debido a una llamada de función incorrecta. Esto se puede desencadenar analizando un objeto JSON que contiene la propiedad maliciosa `__proto__`.

¿Cómo soluciono la vulnerabilidad de denegación de servicio en Axios?

Para solucionar la vulnerabilidad de denegación de servicio, actualice Axios a la versión 1.13.5 o posterior utilizando el comando `npm update axios`. Además, evite pasar JSON controlado por el usuario directamente a los métodos de configuración de Axios y sanee o valide la entrada antes de pasarla a Axios.

NextGuard

Volver al blog

CVSS 7.5CVE-2026-25639

Axios Vulnerable a DoS y Malware (CVE-2026-25639)

Q: ¿Cuál es el impacto de la vulnerabilidad de denegación de servicio de Axios?

El impacto de esta vulnerabilidad es una denegación de servicio. Cualquier aplicación que use Axios que procese JSON controlado por el usuario y lo pase a los métodos de configuración de Axios es vulnerable. La aplicación se bloqueará al procesar la carga útil maliciosa, lo que la hará no disponible.

Dos vulnerabilidades afectan a Axios: CVE-2026-25639 es un DoS a través de la contaminación del prototipo, y GHSA-fw8c-xr5c-95f9 es una inyección de malware. ¡Actualice Axios ahora!

Publicado el 2 de abril de 2026

Axios, un cliente HTTP popular para Node.js, es vulnerable a un ataque de denegación de servicio (DoS) (CVE-2026-25639) y a una inyección de malware (GHSA-fw8c-xr5c-95f9). La vulnerabilidad DoS puede ser desencadenada por un objeto de configuración malicioso, mientras que el malware inyecta un troyano de acceso remoto. Hay parches disponibles para solucionar estos problemas; actualice inmediatamente para mitigar los riesgos.

CVE-2026-25639 tiene una puntuación CVSS de 7.5, lo que indica una alta gravedad.

¿Qué es Axios?

Axios es un cliente HTTP basado en promesas ampliamente utilizado para Node.js y navegadores. Simplifica la realización de solicitudes HTTP y el manejo de respuestas. Axios se utiliza comúnmente en aplicaciones web y aplicaciones del lado del servidor para interactuar con APIs y otros servicios web. Para obtener más información, puede buscar todos los CVE de axios.

CVE-2026-25639: Denegación de Servicio a través de la clave proto

CVSS7.5

Versiones afectadasCualquier aplicación que use Axios que procese JSON controlado por el usuario y lo pase a los métodos de configuración de Axios es vulnerable. Esto afecta a los servidores Node.js que utilizan Axios para las solicitudes HTTP.

Alta gravedad: Un atacante puede bloquear la aplicación.

La puntuación EPSS es 0.049, lo que indica una baja probabilidad de explotación.

La función `mergeConfig` en Axios falla al procesar objetos de configuración que contienen `__proto__` como una propiedad propia. Un atacante puede desencadenar esto proporcionando un objeto de configuración malicioso creado a través de `JSON.parse()`, lo que lleva a una denegación de servicio.

Cómo solucionar CVE-2026-25639 en Axios

Parchear ahora

1.Actualice Axios a la versión 1.13.5 o posterior.

Actualizar Axios

npm update axios

Solución temporal: Evite pasar JSON controlado por el usuario directamente a los métodos de configuración de Axios. Sanee o valide la entrada antes de pasarla a Axios.

NextGuard marca automáticamente CVE-2026-25639 si Axios aparece en cualquiera de sus proyectos supervisados; no se requiere búsqueda manual.

Manténgase a la vanguardia de las vulnerabilidades de nodejs

Detecte y corrija de forma proactiva las vulnerabilidades en sus proyectos nodejs. Utilice NextGuard para supervisar sus dependencias de nodejs.

Comparar Planes

Preguntas frecuentes

Los usuarios de Axios deben actualizar a la última versión para mitigar el riesgo de ataques de denegación de servicio e inyección de malware. Manténgase informado sobre las últimas amenazas de seguridad y vea todas las vulnerabilidades de nodejs. Audite regularmente sus dependencias para garantizar un entorno de aplicación seguro.

Temas relacionados

nodejsaxiosdenial of servicemalwaresecurity

¿Qué es Axios?

CVE-2026-25639: Denegación de Servicio a través de la clave __proto__

Cómo solucionar CVE-2026-25639 en Axios

Manténgase a la vanguardia de las vulnerabilidades de nodejs

Preguntas frecuentes

CVE-2026-25639: Denegación de Servicio a través de la clave proto