CVE-2026-40175 : score CVSS maximal 10.0, Axios permet une escalade de Prototype Pollution vers RCE et compromission cloud AWS. Mise à jour vers 1.15.0 requise.
En bref
- CVE-2026-40175 (CVSS 10.0) : chaîne d'attaque Prototype Pollution → RCE et compromission cloud complète dans Axios
- Versions affectées : toutes les versions d'Axios antérieures à 1.15.0
- Action urgente : mettre à jour Axios vers la version 1.15.0 dans tous vos projets Node.js et navigateur
Les faits
La CVE-2026-40175, divulguée le 10 avril 2026 avec le score CVSS maximal de 10.0, affecte Axios, le client HTTP basé sur les promesses le plus utilisé de l'écosystème JavaScript. Axios compte plus de 50 millions de téléchargements hebdomadaires sur npm et est intégré dans d'innombrables applications web, API backend et outils d'automatisation à travers le monde.
La vulnérabilité repose sur une chaîne d'attaque de type « Gadget » : toute faille de Prototype Pollution présente dans une dépendance tierce du projet peut être escaladée en exécution de code à distance (RCE) ou en compromission cloud complète via un contournement du mécanisme AWS IMDSv2. Ce contournement permet à un attaquant d'extraire les credentials temporaires des instances EC2, ouvrant la porte à une prise de contrôle totale de l'infrastructure cloud.
Cette vulnérabilité est d'autant plus préoccupante qu'elle survient dans un contexte tendu pour Axios : fin mars 2026, les versions 1.14.1 et 0.30.4 du package npm avaient été compromises dans une attaque de supply chain distincte, distribuant un cheval de Troie d'accès à distance (RAT) multiplateforme. Bien que les deux incidents soient techniquement distincts, ils soulignent la surface d'attaque considérable que représente cette bibliothèque omniprésente.
Impact et exposition
L'impact est massif en raison de l'adoption quasi universelle d'Axios dans l'écosystème JavaScript. Tout projet Node.js ou application frontend utilisant une version d'Axios inférieure à 1.15.0, combinée à une dépendance tierce vulnérable à la Prototype Pollution, est potentiellement exploitable. Les environnements cloud AWS sont particulièrement menacés par le vecteur de contournement IMDSv2, qui permet l'extraction de credentials d'instance EC2.
Les applications serveur (API REST, microservices, fonctions Lambda) sont les cibles prioritaires car elles combinent souvent des dépendances multiples et un accès au réseau interne ou aux métadonnées cloud. Le vecteur d'attaque est exploitable à distance si l'attaquant peut influencer les données traitées par une dépendance vulnérable à la Prototype Pollution dans la chaîne de dépendances du projet.
Recommandations immédiates
- Mettre à jour Axios vers la version 1.15.0 dans tous les projets — exécuter
npm auditouyarn auditpour identifier les versions vulnérables - Auditer l'ensemble de la chaîne de dépendances pour détecter d'éventuelles vulnérabilités de Prototype Pollution (
npm audit --production) - Vérifier que les instances EC2 utilisent bien IMDSv2 en mode obligatoire avec un hop limit de 1 pour limiter l'exposition des credentials
- Scanner les projets pour détecter l'utilisation des versions npm compromises (1.14.1 et 0.30.4) liées à l'attaque de supply chain de mars 2026
- Mettre en place un monitoring des appels réseau sortants inhabituels depuis vos applications Node.js
⚠️ Urgence
Score CVSS maximal de 10.0. Axios est présent dans la quasi-totalité des projets JavaScript modernes. La combinaison avec une Prototype Pollution dans n'importe quelle dépendance tierce rend cette vulnérabilité systémique. Mettez à jour immédiatement l'ensemble de vos projets.
Comment savoir si je suis vulnérable ?
Exécutez npm ls axios ou yarn why axios dans chaque projet pour identifier la version installée. Toute version inférieure à 1.15.0 est vulnérable. Utilisez ensuite npm audit pour vérifier si d'autres dépendances du projet sont affectées par des failles de Prototype Pollution, condition nécessaire à l'exploitation complète de la chaîne d'attaque. Sur AWS, vérifiez la configuration IMDSv2 de vos instances avec aws ec2 describe-instances --query "Reservations[].Instances[].MetadataOptions".
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-3502 : zero-day TrueConf exploité par la Chine (KEV)
CVE-2026-3502 : zero-day TrueConf exploité dans l'opération TrueChaos par un acteur chinois. Le mécanisme de mise à jour distribue du malware Havoc C2 aux clients connectés.
CVE-2026-39987 : RCE pré-authentification dans Marimo (9.3)
CVE-2026-39987 : faille critique CVSS 9.3 dans Marimo permet une exécution de code à distance sans authentification. Exploitation active confirmée en moins de 10 heures.
CVE-2026-23818 : vol de credentials HPE Aruba 5G (8.8)
Vulnérabilité de redirection ouverte CVSS 8.8 dans HPE Aruba Private 5G Core permettant le vol de credentials d'administration via phishing ciblé.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire