Plateforme
nodejs
Composant
axios
Corrigé dans
1.13.1
1.13.2
CVE-2026-39865 describes a denial-of-service (DoS) vulnerability within Axios, a popular JavaScript library for making HTTP requests. This flaw arises from a state corruption bug in the HTTP/2 session cleanup logic, allowing a malicious server to crash the client application. The vulnerability impacts Axios versions 1.13.0 up to, but not including, version 1.13.2, and is triggered when HTTP/2 is enabled. A fix is available in version 1.13.2.
La vulnérabilité CVE-2026-39865 dans Axios affecte les versions antérieures à 1.13.2 lorsque HTTP/2 est activé. Il s'agit d'un bug de corruption d'état dans la logique de nettoyage de session HTTP/2 qui permet à un serveur malveillant de faire planter le processus client par le biais de fermetures de session concurrentes. La vulnérabilité réside dans la méthode Http2Sessions.getSession() dans lib/adapters/http.js. La logique de nettoyage de session présente une erreur de flux de contrôle lors de la suppression des sessions du tableau de sessions, ce qui peut entraîner une condition de concurrence et un plantage du programme. La sévérité CVSS est de 5,9, ce qui indique un risque modéré. Une exploitation réussie nécessite que le serveur contrôle le flux de fermeture de session HTTP/2 concurrent.
L'exploitation de cette vulnérabilité nécessite un serveur HTTP/2 malveillant capable de contrôler les fermetures de session concurrentes. Le serveur pourrait envoyer une séquence de requêtes HTTP/2 qui déclenchent la fermeture simultanée de plusieurs sessions, exploitant ainsi l'erreur dans la logique de nettoyage d'Axios. Cela pourrait entraîner un déni de service (DoS) en faisant planter le processus client. La probabilité d'exploitation dépend de l'exposition des applications Axios à des serveurs HTTP/2 malveillants et de la capacité de l'attaquant à contrôler le flux de fermeture de session. Une atténuation efficace nécessite la mise à niveau d'Axios ou la désactivation de HTTP/2.
Applications built with Node.js that utilize Axios for HTTP communication and have HTTP/2 enabled are at risk. This includes web applications, APIs, and any other JavaScript environments leveraging Axios. Shared hosting environments where users have limited control over Axios configuration are particularly vulnerable.
• nodejs / server:
ps aux | grep axios | grep http2• nodejs / server:
journalctl -u axios -f | grep -i "session cleanup"• generic web: Inspect application logs for Axios crashes or errors related to HTTP/2 sessions. Look for patterns indicating concurrent session closures or unexpected behavior within the Axios client.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité consiste à mettre à niveau vers Axios version 1.13.2 ou supérieure. Cette version corrige l'erreur dans la logique de nettoyage de session, empêchant la corruption d'état et les éventuels plantages du client. Si une mise à niveau immédiate n'est pas possible, il est recommandé de désactiver HTTP/2 dans Axios, bien que cela puisse affecter les performances des connexions. Assurez-vous d'appliquer la mise à niveau dans tous les environnements où Axios est utilisé, y compris la production, les tests et le développement. Vérifiez la version installée d'Axios à l'aide de la commande npm list axios ou yarn list axios.
Actualice a la versión 1.13.2 o superior para corregir la vulnerabilidad de corrupción de estado en la limpieza de sesiones HTTP/2. Esta actualización aborda un error en el manejo de sesiones que podría permitir a un servidor malicioso provocar el cierre inesperado del cliente.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
HTTP/2 est une version plus récente du protocole HTTP qui offre des améliorations de performances par rapport à HTTP/1.1, telles que la multiplexation des requêtes et la compression des en-têtes.
Vous pouvez le vérifier en inspectant les en-têtes de réponse HTTP dans les outils de développement de votre navigateur. Recherchez l'en-tête 'HTTP/2'.
CVSS 5,9 indique un risque modéré. Cela signifie que la vulnérabilité pourrait être exploitée relativement facilement, mais l'impact n'est pas critique.
Si vous ne pouvez pas effectuer la mise à niveau, la désactivation de HTTP/2 dans Axios est une atténuation temporaire, mais elle peut affecter les performances.
Si vous utilisez une version d'Axios antérieure à 1.13.2 et que vous avez HTTP/2 activé, votre application est vulnérable.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.