Plataforma
nodejs
Componente
axios
Corrigido em
1.13.1
1.13.2
CVE-2026-39865 describes a denial-of-service (DoS) vulnerability within Axios, a popular JavaScript library for making HTTP requests. This flaw arises from a state corruption bug in the HTTP/2 session cleanup logic, allowing a malicious server to crash the client application. The vulnerability impacts Axios versions 1.13.0 up to, but not including, version 1.13.2, and is triggered when HTTP/2 is enabled. A fix is available in version 1.13.2.
A vulnerabilidade CVE-2026-39865 no Axios afeta versões anteriores a 1.13.2 quando o HTTP/2 está habilitado. Trata-se de um erro de corrupção de estado na lógica de limpeza de sessões HTTP/2 que permite a um servidor malicioso causar o encerramento do processo do cliente através do fechamento concorrente de sessões. A vulnerabilidade reside no método Http2Sessions.getSession() dentro de lib/adapters/http.js. A lógica de limpeza de sessões possui um erro no fluxo de controle ao remover sessões do array de sessões, o que pode resultar em uma condição de corrida e o encerramento do programa. A severidade CVSS é de 5.9, indicando um risco moderado. A exploração bem-sucedida requer que o servidor controle o fluxo de fechamento concorrente de sessões HTTP/2.
A exploração desta vulnerabilidade requer um servidor HTTP/2 malicioso capaz de controlar o fechamento concorrente de sessões. O servidor pode enviar uma sequência de solicitações HTTP/2 que acionem o fechamento simultâneo de várias sessões, explorando o erro na lógica de limpeza do Axios. Isso pode resultar em uma negação de serviço (DoS) ao encerrar o processo do cliente. A probabilidade de exploração depende da exposição das aplicações Axios a servidores HTTP/2 maliciosos e da capacidade do atacante de controlar o fluxo de fechamento de sessões. A mitigação eficaz requer a atualização do Axios ou a desabilitação do HTTP/2.
Applications built with Node.js that utilize Axios for HTTP communication and have HTTP/2 enabled are at risk. This includes web applications, APIs, and any other JavaScript environments leveraging Axios. Shared hosting environments where users have limited control over Axios configuration are particularly vulnerable.
• nodejs / server:
ps aux | grep axios | grep http2• nodejs / server:
journalctl -u axios -f | grep -i "session cleanup"• generic web: Inspect application logs for Axios crashes or errors related to HTTP/2 sessions. Look for patterns indicating concurrent session closures or unexpected behavior within the Axios client.
disclosure
Status do Exploit
EPSS
0.02% (percentil 3%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar para o Axios versão 1.13.2 ou superior. Esta versão corrige o erro na lógica de limpeza de sessões, prevenindo a corrupção de estado e o possível encerramento do cliente. Se uma atualização imediata não for possível, recomenda-se desabilitar o HTTP/2 no Axios, embora isso possa afetar o desempenho das conexões. Certifique-se de aplicar a atualização em todos os ambientes onde o Axios é utilizado, incluindo aplicações de produção, testes e desenvolvimento. Verifique a versão instalada do Axios usando o comando npm list axios ou yarn list axios.
Actualice a la versión 1.13.2 o superior para corregir la vulnerabilidad de corrupción de estado en la limpieza de sesiones HTTP/2. Esta actualización aborda un error en el manejo de sesiones que podría permitir a un servidor malicioso provocar el cierre inesperado del cliente.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
HTTP/2 é uma versão mais recente do protocolo HTTP que oferece melhorias de desempenho em relação ao HTTP/1.1, como a multiplexação de solicitações e a compressão de cabeçalhos.
Você pode verificar isso inspecionando os cabeçalhos de resposta HTTP nas ferramentas de desenvolvedor do seu navegador. Procure o cabeçalho 'HTTP/2'.
CVSS 5.9 indica um risco moderado. Isso significa que a vulnerabilidade pode ser explorada relativamente facilmente, mas o impacto não é crítico.
Se você não puder atualizar, desabilitar o HTTP/2 no Axios é uma mitigação temporária, mas pode afetar o desempenho.
Se você estiver usando uma versão do Axios anterior a 1.13.2 e tiver o HTTP/2 habilitado, sua aplicação é vulnerável.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.