Axios严重漏洞:代理认证凭证在重定向时泄露给攻击者
Axios(npm包)被发现高危漏洞CVE-2026-44486,Node.js HTTP适配器在自动重定向时可能泄露Proxy-Authorization凭据给攻击者控制的服务器。本文深入分析漏洞原理、攻击链、PoC及修复建议,帮助开发者和安全团队及时缓解风险。
🔓 High 漏洞利用
Axios(npm包)的Node.js HTTP适配器存在高危漏洞(CVE-2026-44486),当使用认证代理发送HTTP请求并自动跟随重定向时,若重定向目标不再使用代理,旧的Proxy-Authorization头会被保留并发送给重定向目标。攻击者可通过控制恶意服务器,诱导受害者请求并重定向,从而窃取代理凭据。
来源:OSV | 2026-06-04 | 原文链接
🔍 关键发现
- Axios Node.js HTTP适配器在重定向后未清除旧的Proxy-Authorization头,导致凭据泄露给重定向目标。
- 漏洞影响使用认证HTTP代理并启用自动重定向的Node.js应用,浏览器适配器不受影响。
- 攻击者可通过302重定向将受害者请求导向无代理的HTTPS目标,从而截获Base64编码的代理凭据。
⚔️ 攻击链分析
1. 受害者应用通过认证HTTP代理发送GET请求到攻击者控制的HTTP服务器。 2. 攻击者服务器返回302重定向,Location指向一个HTTPS URL(无代理)。 3. Axios自动跟随重定向,但未清除旧的Proxy-Authorization头。 4. 重定向请求携带代理凭据直接发送给攻击者的HTTPS服务器,凭据泄露。
🚩 失陷指标 (IOC)
请求头中出现非预期的Proxy-Authorization: Basic ...(对非代理目标)日志中代理凭据出现在不应出现的目标服务器访问记录中
🛡️ 缓解建议
- ✅ 设置maxRedirects: 0并手动处理重定向逻辑。
- ✅ 避免对不可信的HTTP源使用认证代理环境变量,或确保HTTPS_PROXY也配置一致。
- ✅ 升级Axios至修复版本(v1.x: 1.7.9+, v0.x: 0.32.0+)。
涉及漏洞:["CVE-2026-44486"]
⚠️ 本文仅供安全研究与学习,IOC 信息请勿用于非法目的。
🤖 常见问题解答(FAQ)
❓ 漏洞影响哪些Axios版本?
影响所有使用Node.js HTTP适配器且启用自动重定向的Axios版本(v1.x < 1.7.9,v0.x < 0.32.0)。
❓ 如何检测是否受此漏洞影响?
检查应用是否使用HTTP_PROXY环境变量且包含认证信息,同时启用自动重定向(默认)。若重定向目标为无代理的HTTPS地址,则可能泄露。
❓ 修复版本如何解决该问题?
修复版本在重定向处理路径中,在重新应用代理设置前删除所有大小写变体的Proxy-Authorization头,确保旧凭据被清除。