CVE-2026-40175 : score CVSS maximal 10.0, Axios permet une escalade de Prototype Pollution vers RCE et compromission cloud AWS. Mise à jour vers 1.15.0 requise.
TL;DR — En résumé
CVE-2026-40175 Axios : prototype pollution avec RCE CVSS 9.8. PoC, versions affectées <1.7.9, patch immédiat, détection SAST + supply chain.
En bref
- CVE-2026-40175 (CVSS 10.0) : chaîne d'attaque Prototype Pollution → RCE et compromission cloud complète dans Axios
- Versions affectées : toutes les versions d'Axios antérieures à 1.15.0
- Action urgente : mettre à jour Axios vers la version 1.15.0 dans tous vos projets Node.js et navigateur
Les faits
La CVE-2026-40175, divulguée le 10 avril 2026 avec le score CVSS maximal de 10.0, affecte Axios, le client HTTP basé sur les promesses le plus utilisé de l'écosystème JavaScript. Axios compte plus de 50 millions de téléchargements hebdomadaires sur npm et est intégré dans d'innombrables applications web, API backend et outils d'automatisation à travers le monde.
La vulnérabilité repose sur une chaîne d'attaque de type « Gadget » : toute faille de Prototype Pollution présente dans une dépendance tierce du projet peut être escaladée en exécution de code à distance (RCE) ou en compromission cloud complète via un contournement du mécanisme AWS IMDSv2. Ce contournement permet à un attaquant d'extraire les credentials temporaires des instances EC2, ouvrant la porte à une prise de contrôle totale de l'infrastructure cloud.
Cette vulnérabilité est d'autant plus préoccupante qu'elle survient dans un contexte tendu pour Axios : fin mars 2026, les versions 1.14.1 et 0.30.4 du package npm avaient été compromises dans une attaque de supply chain distincte, distribuant un cheval de Troie d'accès à distance (RAT) multiplateforme. Bien que les deux incidents soient techniquement distincts, ils soulignent la surface d'attaque considérable que représente cette bibliothèque omniprésente.
Impact et exposition
L'impact est massif en raison de l'adoption quasi universelle d'Axios dans l'écosystème JavaScript. Tout projet Node.js ou application frontend utilisant une version d'Axios inférieure à 1.15.0, combinée à une dépendance tierce vulnérable à la Prototype Pollution, est potentiellement exploitable. Les environnements cloud AWS sont particulièrement menacés par le vecteur de contournement IMDSv2, qui permet l'extraction de credentials d'instance EC2.
Les applications serveur (API REST, microservices, fonctions Lambda) sont les cibles prioritaires car elles combinent souvent des dépendances multiples et un accès au réseau interne ou aux métadonnées cloud. Le vecteur d'attaque est exploitable à distance si l'attaquant peut influencer les données traitées par une dépendance vulnérable à la Prototype Pollution dans la chaîne de dépendances du projet.
Recommandations immédiates
- Mettre à jour Axios vers la version 1.15.0 dans tous les projets — exécuter
npm auditouyarn auditpour identifier les versions vulnérables - Auditer l'ensemble de la chaîne de dépendances pour détecter d'éventuelles vulnérabilités de Prototype Pollution (
npm audit --production) - Vérifier que les instances EC2 utilisent bien IMDSv2 en mode obligatoire avec un hop limit de 1 pour limiter l'exposition des credentials
- Scanner les projets pour détecter l'utilisation des versions npm compromises (1.14.1 et 0.30.4) liées à l'attaque de supply chain de mars 2026
- Mettre en place un monitoring des appels réseau sortants inhabituels depuis vos applications Node.js
⚠️ Urgence
Score CVSS maximal de 10.0. Axios est présent dans la quasi-totalité des projets JavaScript modernes. La combinaison avec une Prototype Pollution dans n'importe quelle dépendance tierce rend cette vulnérabilité systémique. Mettez à jour immédiatement l'ensemble de vos projets.
Comment savoir si je suis vulnérable ?
Exécutez npm ls axios ou yarn why axios dans chaque projet pour identifier la version installée. Toute version inférieure à 1.15.0 est vulnérable. Utilisez ensuite npm audit pour vérifier si d'autres dépendances du projet sont affectées par des failles de Prototype Pollution, condition nécessaire à l'exploitation complète de la chaîne d'attaque. Sur AWS, vérifiez la configuration IMDSv2 de vos instances avec aws ec2 describe-instances --query "Reservations[].Instances[].MetadataOptions".
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Articles connexes :
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-25089 : RCE non-auth FortiSandbox CVSS 9.8 urgent
CVE-2026-25089 est une injection de commandes OS non authentifiée dans l'interface Web de FortiSandbox (CVSS 9.8 Critical). Sans credentials, un attaquant exécute du code en root. Patch FortiSandbox 5.0.6 et 4.4.9 disponible — juillet 2026.
CVE-2026-45659 : SharePoint RCE CVSS 8.8 Storm-2603 actif
CVE-2026-45659, deserialisation RCE dans SharePoint Server on-premises (CVSS 8.8), est activement exploitee par Storm-2603 pour deployer le ransomware Warlock. CISA KEV depuis le 1er juillet 2026. Patch critique disponible depuis mai 2026.
Patch Tuesday Juillet 2026 : CVE-2025-47981 NEGOEX CVSS 9.8
Le Patch Tuesday du 14 juillet 2026 publie 127 correctifs dont CVE-2025-47981, une faille wormable CVSS 9.8 dans le mecanisme NEGOEX/SPNEGO de Windows — priorite absolue pour tous les systemes Windows depuis Server 2008.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire