Axios高危漏洞CVE-2026-44487:HTTP代理凭证通过重定向泄露给HTTPS源站
Axios高危漏洞CVE-2026-44487允许攻击者通过HTTP到HTTPS重定向窃取Proxy-Authorization凭证。影响Node.js HTTP适配器,需立即升级至1.13.7+或0.32.0+。本文详细分析漏洞原理、攻击链及修复方案。
🔓 High 漏洞利用
Axios Node.js HTTP适配器在处理特定HTTP到HTTPS重定向时,会错误地将Proxy-Authorization头保留并转发给最终源站,导致本应仅用于出站代理的凭证泄露。攻击者可通过控制重定向目标,窃取受害者的代理认证凭证。
来源:OSV | 2026-06-04 | 原文链接
🔍 关键发现
- CVE-2026-44487影响Axios Node.js HTTP适配器,浏览器及React Native适配器不受影响。
- 漏洞触发条件:初始HTTP请求通过认证代理,重定向到HTTPS且无代理适用,且重定向层未清除敏感头。
- 修复方案:在setProxy()中强制移除所有大小写变体的Proxy-Authorization头,1.x版本提交afca61a,0.x版本发布0.32.0。
⚔️ 攻击链分析
1. 攻击者构造一个HTTP URL,受害者通过配置了HTTP_PROXY认证凭证的Axios发起请求。 2. 代理服务器返回302重定向,Location指向攻击者控制的HTTPS源站。 3. Axios跟随重定向,但未清除之前的Proxy-Authorization头,直接发送给HTTPS源站。 4. 攻击者从请求中提取Proxy-Authorization凭证,可用于重放攻击。
🚩 失陷指标 (IOC)
请求头中异常出现的Proxy-Authorization: Basic ...重定向链中HTTP到HTTPS的跨协议跳转
🛡️ 缓解建议
- ✅ 立即升级Axios至1.13.7+或0.32.0+版本。
- ✅ 设置maxRedirects: 0并手动处理重定向,避免凭证泄露。
- ✅ 避免对不可信源站使用可重用的HTTP代理认证凭证,定期轮换代理密码。
涉及漏洞:["CVE-2026-44487"]
⚠️ 本文仅供安全研究与学习,IOC 信息请勿用于非法目的。
🤖 常见问题解答(FAQ)
❓ 此漏洞是否影响浏览器端Axios?
不影响。漏洞仅存在于Node.js HTTP适配器,浏览器XHR/Fetch适配器不受影响。
❓ 攻击者需要什么条件才能利用?
受害者需使用认证HTTP代理发起请求,且重定向目标为HTTPS且无代理配置,同时重定向层未清除凭证头。
❓ 如何快速检测是否受影响?
检查项目package.json中axios版本是否低于1.13.7或0.32.0,并审计是否有HTTP代理配置。