Kritische Sicherheitslücken in axios-Bibliothek
- Sicherheitshinweis
Die CSBW warnt vor zwei kritischen Schwachstellen in der JavaScript-HTTP-Bibliothek axios. Das Entwickler-Team stellt eine abgesicherte Version zur Verfügung, die die Lücken schließt.
© Adobe Stock
Remote Code Execution möglich
Ein Sicherheitsforscher veröffentlichte am 9. April 2026 zwei Warnmeldungen auf GitHub zu den folgenden beiden kritischen Schwachstellen in der axios-Bibliothek:
- CVE-2026-40175 hat einen CVSS-Score von 10/10 und betrifft alle Versionen, die älter als 1.13.2 sind. Die Schwachstelle ermöglicht Angreifenden Remote Code Execution (RCE) und Systeme vollständig zu übernehmen.
- CVE-2025-62718 mit einem CVSS-Score von 9.9/10 betrifft alle Versionen, die älter als 1.12.2 sind. Die Schwachstelle ermöglicht Angreifenden einen Proxy-Bypass zu erzwingen und im Nachgang sensible Informationen auszulesen.
Für beide Schwachstellen wurde ein Proof of Concept veröffentlicht, der die Wahrscheinlichkeit einer Ausnutzung deutlich erhöht.
Mit der Version 1.15.0 schließt das Entwickler-Team die Lücken.
Empfehlung
Installieren Sie umgehend die Version 1.15.0 der axios-Bibliothek.