Cộng đồng an ninh mạng đang đặc biệt cảnh giác sau khi một lỗ hổng CVE nghiêm trọng được công khai trong Axios. Axios là một HTTP client dựa trên Promise được sử dụng rộng rãi cho Node.js và trình duyệt.
Nhà nghiên cứu bảo mật Jason Saayman gần đây đã công bố một lỗ hổng không giới hạn. Lỗ hổng này cho phép rò rỉ siêu dữ liệu đám mây (cloud metadata).
Lỗ hổng nguy hiểm này cho phép kẻ tấn công thực thi mã từ xa hoặc chiếm đoạt toàn bộ môi trường đám mây. Việc khai thác không yêu cầu bất kỳ tương tác trực tiếp nào từ người dùng.
Phân tích kỹ thuật lỗ hổng CVE-2026-40175 trong Axios
Lỗ hổng được theo dõi chính thức dưới mã CVE-2026-40175. Nó nằm sâu bên trong thành phần xử lý header của Axios, cụ thể trong file lib/adapters/http.js.
Do phần mềm thiếu cơ chế làm sạch (sanitization) header HTTP phù hợp, Axios hoạt động một cách gây hại. Điều này xảy ra khi có hiện tượng **prototype pollution** trong một thư viện phụ thuộc bên thứ ba.
Nếu một tác nhân đe dọa thành công gây ô nhiễm Object.prototype thông qua một thư viện không liên quan trong stack phần mềm, Axios sẽ tự động hợp nhất các thuộc tính độc hại này trong quá trình cấu hình thông thường của nó.
Phần mềm không làm sạch các giá trị header đã được hợp nhất khỏi các ký tự carriage return và line feed. Do đó, thuộc tính bị ô nhiễm trở thành một payload **request-smuggling** lén lút.
Cơ chế khai thác và Tác động hệ thống
Chuỗi thực thi cụ thể này đặc biệt nghiêm trọng vì nó yêu cầu **zero direct user interaction**. Một yêu cầu được lập trình cứng bởi nhà phát triển, tưởng chừng an toàn, có thể bị chiếm đoạt mà không hay biết để kích hoạt toàn bộ chuỗi khai thác.
Khi một yêu cầu phụ (smuggled secondary request) được thực thi thành công, nó có thể nhắm mục tiêu trực tiếp vào Dịch vụ Metadata của AWS (AWS Metadata Service).
Khai thác tinh vi này vượt qua các kiểm soát bảo mật của **AWS IMDSv2**. Nó thành công tiêm các header token phiên cần thiết, một hành động mà một Server-Side Request Forgery (SSRF) tiêu chuẩn không thể thực hiện được.
Một khi dịch vụ metadata trả về một token phiên hợp lệ, kẻ tấn công có thể dễ dàng đánh cắp thông tin đăng nhập IAM (IAM credentials).
Việc truy cập trái phép này giúp các tác nhân đe dọa nhanh chóng leo thang đặc quyền. Họ có thể chuyển sang các bảng điều khiển quản trị nội bộ bị hạn chế thông qua cookie hoặc tiêm header ủy quyền. Cuối cùng, họ có thể đạt được quyền **chiếm quyền điều khiển** tài khoản đám mây hoàn toàn.
Lỗ hổng CVE nghiêm trọng này ảnh hưởng đến vô số ứng dụng trong hệ sinh thái phát triển toàn cầu.
Biện pháp Khắc phục và An toàn Thông tin
Các nhóm phát triển và bảo mật phải khẩn trương nâng cấp cài đặt Axios của họ lên **phiên bản 1.15.0** hoặc mới hơn. Việc này nhằm mục đích giảm thiểu hoàn toàn lỗ hổng CVE nghiêm trọng này.
Bản phát hành này giới thiệu các cơ chế xác thực header nghiêm ngặt. Nó đảm bảo rằng bất kỳ giá trị header nào chứa ký tự không hợp lệ sẽ ngay lập tức gây ra lỗi bảo mật nghiêm trọng trước khi xử lý.
Hơn nữa, các tổ chức nên kiểm tra toàn diện biểu đồ phụ thuộc (dependency graphs) của mình. Mục đích là để tìm các lỗ hổng prototype pollution tiềm ẩn trong các gói npm khác.
Vì Axios tận dụng những lỗ hổng phụ trợ này để thực hiện khai thác, việc bảo mật toàn bộ phần mềm stack là điều cần thiết để duy trì an ninh mạng mạnh mẽ. Điều này giúp ngăn chặn các mối đe dọa tiềm tàng liên quan đến **remote code execution** và chiếm quyền.
