Axios 1.13.5 爆出严重安全漏洞 CVE-2026-40175：原型污染可升级为云元数据泄露与远程代码执行

广泛使用的 JavaScript HTTP 客户端库 Axios 爆出严重安全漏洞 CVE-2026-40175。该漏洞揭示了一个危险的“攻击链”路径：攻击者可利用任何第三方依赖中的原型污染漏洞，将其升级为远程代码执行或完整的云元数据泄露。这并非 Axios 自身的直接漏洞，而是其作为“跳板”或“攻击组件”的角色，放大了依赖生态中现有漏洞的潜在危害。该漏洞的核心在于，恶意构造的请求头可通过 Axios 的特定处理逻辑，将原型污染的影响范围从本地 JavaScript 对象扩展到服务器端，进而可能访问并泄露云服务提供商（如 AWS、GCP、Azure）分配给实例的敏感元数据。

此次披露的漏洞影响 Axios 1.13.5 及更早版本。安全公告明确指出，这是一个通过头部注入链实现的无限制云元数据泄露路径。这意味着，任何使用了存在原型污染漏洞的第三方包、并同时使用旧版 Axios 发送 HTTP 请求的 Node.js 或前端应用，都可能面临严重的安全风险。攻击者无需直接攻破 Axios，只需利用生态中另一个薄弱环节，即可通过 Axios 这个广泛存在的工具完成攻击升级。

该漏洞的修复版本为 Axios 1.15.0。GitHub 的依赖机器人已自动创建拉取请求，将依赖从 1.13.5 更新至 1.15.0。对于全球数百万的 Web 和 Node.js 项目而言，这是一个需要立即采取行动的高危安全更新。它再次凸显了现代软件供应链的复杂性风险——一个基础工具的特定行为模式，可能成为串联多个独立漏洞、实现高危害攻击的关键枢纽。所有开发团队都应紧急审查其项目依赖，确保 Axios 已升级至安全版本。