Axios 高危漏洞：Cookie 名称注入引发 ReDoS，可致浏览器标签页冻结

🔓 High 漏洞利用

流行 HTTP 客户端库 Axios 存在正则表达式拒绝服务漏洞（CVE-2026-44496）。攻击者通过控制 XSRF Cookie 名称配置，注入恶意正则表达式，导致浏览器端在解析 document.cookie 时发生灾难性回溯，从而冻结标签页。该漏洞影响 0.x 系列低于 0.32.0 和 1.x 系列低于 1.16.0 的版本。

来源：OSV | 2026-06-04 | 原文链接

🔍 关键发现

• Axios 在构建用于匹配 Cookie 的正则表达式时，未对用户可控的 Cookie 名称进行转义，直接将名称拼接至正则模式中。
• 攻击者可通过注入类似 `(.+)+$` 的嵌套量词模式，触发正则引擎的灾难性回溯，导致 CPU 长时间占用。
• 漏洞仅影响浏览器环境（读取 document.cookie 的场景），不影响 Node.js、React Native 或 Web Worker。

⚔️ 攻击链分析

1. 攻击者通过原型污染、配置注入或其他方式，控制 Axios 配置中的 xsrfCookieName 参数。 2. 当 Axios 发起请求时，内部 cookie 读取函数将恶意 Cookie 名称直接拼接到正则表达式中。 3. 正则引擎在尝试匹配 document.cookie 时陷入灾难性回溯，导致浏览器标签页长时间无响应。 4. 攻击者无需用户交互即可实现客户端拒绝服务。

🚩 失陷指标 (IOC)

• 正则模式特征：`(.+)+$`、`(([^;])+)+\$`、`([^;]+)+$` 等嵌套量词模式出现在 xsrfCookieName 配置中
• 异常 CPU 占用：浏览器标签页在发起请求前出现数秒至数分钟的卡顿

🛡️ 缓解建议

• ✅ 升级 Axios 至 0.32.0（0.x 系列）或 1.16.0（1.x 系列）以上版本。
• ✅ 若无需 XSRF Cookie 功能，将 xsrfCookieName 设置为 null 以禁用。
• ✅ 避免从不可信来源动态设置 xsrfCookieName；如必须，使用白名单严格校验 Cookie 名称格式。

涉及漏洞：["CVE-2026-44496"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。