プラットフォーム
nodejs
コンポーネント
axios
修正版
1.13.1
1.13.2
CVE-2026-39865 describes a denial-of-service (DoS) vulnerability within Axios, a popular JavaScript library for making HTTP requests. This flaw arises from a state corruption bug in the HTTP/2 session cleanup logic, allowing a malicious server to crash the client application. The vulnerability impacts Axios versions 1.13.0 up to, but not including, version 1.13.2, and is triggered when HTTP/2 is enabled. A fix is available in version 1.13.2.
Axios の CVE-2026-39865 は、HTTP/2 が有効になっている 1.13.2 以前のバージョンに影響します。これは、HTTP/2 セッション クリーンアップ ロジックにおけるステート破損のバグであり、悪意のあるサーバーが、並行セッションのクローズを通じてクライアント プロセスをクラッシュさせることを可能にします。この脆弱性は、lib/adapters/http.js 内の Http2Sessions.getSession() メソッドに存在します。セッション クリーンアップ ロジックは、セッション配列からセッションを削除する際の制御フローにエラーがあり、競合状態を引き起こし、プログラムがクラッシュする可能性があります。CVSS 重度は 5.9 で、中程度のリスクを示します。 脆弱性を悪用するには、サーバーが HTTP/2 セッションの並行クローズフローを制御する必要があります。
この脆弱性の悪用には、並行セッションのクローズを制御できる悪意のある HTTP/2 サーバーが必要です。サーバーは、Axios のクリーンアップ ロジックのエラーを利用して、複数のセッションを同時に閉じるようにトリガーする一連の HTTP/2 リクエストを送信する可能性があります。これにより、クライアント プロセスをクラッシュさせることで、サービス拒否 (DoS) が発生する可能性があります。悪用の可能性は、Axios アプリケーションが悪意のある HTTP/2 サーバーに公開されていることと、攻撃者がセッションのクローズフローを制御できるかに依存します。効果的な軽減策は、Axios を更新するか、HTTP/2 を無効にすることです。
Applications built with Node.js that utilize Axios for HTTP communication and have HTTP/2 enabled are at risk. This includes web applications, APIs, and any other JavaScript environments leveraging Axios. Shared hosting environments where users have limited control over Axios configuration are particularly vulnerable.
• nodejs / server:
ps aux | grep axios | grep http2• nodejs / server:
journalctl -u axios -f | grep -i "session cleanup"• generic web: Inspect application logs for Axios crashes or errors related to HTTP/2 sessions. Look for patterns indicating concurrent session closures or unexpected behavior within the Axios client.
disclosure
エクスプロイト状況
EPSS
0.02% (3% パーセンタイル)
CISA SSVC
この脆弱性の解決策は、Axios をバージョン 1.13.2 以降にアップグレードすることです。このバージョンは、セッション クリーンアップ ロジックのエラーを修正し、ステート破損とクライアントのクラッシュを防ぎます。即時アップグレードが不可能な場合は、Axios で HTTP/2 を無効にすることをお勧めします。ただし、これにより接続パフォーマンスが影響を受ける可能性があります。Axios が使用されているすべての環境 (本番、テスト、開発を含む) で更新を適用してください。npm list axios または yarn list axios を使用してインストールされている Axios のバージョンを確認してください。
Actualice a la versión 1.13.2 o superior para corregir la vulnerabilidad de corrupción de estado en la limpieza de sesiones HTTP/2. Esta actualización aborda un error en el manejo de sesiones que podría permitir a un servidor malicioso provocar el cierre inesperado del cliente.
脆弱性分析と重要アラートをメールでお届けします。
HTTP/2 は、リクエストのマルチプレキシングやヘッダー圧縮など、HTTP/1.1 よりもパフォーマンスが向上した HTTP プロトコルの新しいバージョンです。
ブラウザの開発者ツールで HTTP レスポンス ヘッダーを調べて確認できます。'HTTP/2' ヘッダーを探してください。
CVSS 5.9 は、中程度のリスクを示します。これは、脆弱性が比較的容易に悪用できるが、影響は重大ではないことを意味します。
更新できない場合は、Axios で HTTP/2 を無効にすることが一時的な軽減策ですが、パフォーマンスに影響を与える可能性があります。
1.13.2 以前のバージョンの Axios を使用しており、HTTP/2 が有効になっている場合は、アプリケーションが脆弱です。
CVSS ベクトル