Platform
nodejs
Component
axios
Opgelost in
1.13.1
1.13.2
CVE-2026-39865 describes a denial-of-service (DoS) vulnerability within Axios, a popular JavaScript library for making HTTP requests. This flaw arises from a state corruption bug in the HTTP/2 session cleanup logic, allowing a malicious server to crash the client application. The vulnerability impacts Axios versions 1.13.0 up to, but not including, version 1.13.2, and is triggered when HTTP/2 is enabled. A fix is available in version 1.13.2.
CVE-2026-39865 in Axios beïnvloedt versies vóór 1.13.2 wanneer HTTP/2 is ingeschakeld. Het is een state corruption bug in de HTTP/2 sessie cleanup logica die een kwaadwillende server in staat stelt het clientproces te laten crashen door middel van gelijktijdige sessiesluitingen. De kwetsbaarheid bevindt zich in de Http2Sessions.getSession() methode binnen lib/adapters/http.js. De sessie cleanup logica heeft een fout in de controleflow bij het verwijderen van sessies uit het sessie-array, wat mogelijk kan leiden tot een race conditie en een programma crash. De CVSS ernst is 5.9, wat een matig risico aangeeft. Een succesvolle exploitatie vereist dat de server de gelijktijdige sluitflow van HTTP/2 sessies controleert.
Exploitatie van deze kwetsbaarheid vereist een kwaadwillende HTTP/2 server die in staat is om gelijktijdige sessiesluitingen te controleren. De server zou een reeks HTTP/2 verzoeken kunnen sturen die de gelijktijdige sluiting van meerdere sessies triggeren, waardoor de fout in de cleanup logica van Axios wordt uitgebuit. Dit kan leiden tot een denial-of-service (DoS) door het clientproces te laten crashen. De waarschijnlijkheid van exploitatie hangt af van de blootstelling van Axios applicaties aan kwaadwillende HTTP/2 servers en het vermogen van de aanvaller om de sessiesluitflow te controleren. Effectieve mitigatie vereist het updaten van Axios of het uitschakelen van HTTP/2.
Applications built with Node.js that utilize Axios for HTTP communication and have HTTP/2 enabled are at risk. This includes web applications, APIs, and any other JavaScript environments leveraging Axios. Shared hosting environments where users have limited control over Axios configuration are particularly vulnerable.
• nodejs / server:
ps aux | grep axios | grep http2• nodejs / server:
journalctl -u axios -f | grep -i "session cleanup"• generic web: Inspect application logs for Axios crashes or errors related to HTTP/2 sessions. Look for patterns indicating concurrent session closures or unexpected behavior within the Axios client.
disclosure
Exploit Status
EPSS
0.02% (3% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om te upgraden naar Axios versie 1.13.2 of hoger. Deze versie corrigeert de fout in de sessie cleanup logica, waardoor state corruption en potentiële client crashes worden voorkomen. Als een onmiddellijke upgrade niet mogelijk is, wordt het uitschakelen van HTTP/2 in Axios aanbevolen, hoewel dit de verbindingsprestaties kan beïnvloeden. Zorg ervoor dat de update wordt toegepast in alle omgevingen waar Axios wordt gebruikt, inclusief productie, testen en ontwikkeling. Controleer de geïnstalleerde Axios versie met npm list axios of yarn list axios.
Actualice a la versión 1.13.2 o superior para corregir la vulnerabilidad de corrupción de estado en la limpieza de sesiones HTTP/2. Esta actualización aborda un error en el manejo de sesiones que podría permitir a un servidor malicioso provocar el cierre inesperado del cliente.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
HTTP/2 is een nieuwere versie van het HTTP protocol die prestatieverbeteringen biedt ten opzichte van HTTP/1.1, zoals request multiplexing en header compressie.
U kunt dit controleren door de HTTP response headers te inspecteren in de ontwikkeltools van uw browser. Zoek naar de header 'HTTP/2'.
CVSS 5.9 geeft een matig risico aan. Dit betekent dat de kwetsbaarheid relatief gemakkelijk kan worden uitgebuit, maar de impact niet kritisch is.
Als u niet kunt updaten, is het uitschakelen van HTTP/2 in Axios een tijdelijke mitigatie, maar het kan de prestaties beïnvloeden.
Als u een versie van Axios gebruikt vóór 1.13.2 en HTTP/2 hebt ingeschakeld, is uw applicatie kwetsbaar.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.