CVE-2026-40175 : Axios Prototype Pollution vers RCE

Q: Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités. Articles connexes : Zero Trust : Implémentation Complète Kerberoasting : Attaque et Défense Wazuh SIEM/XDR Open Source Demander un audit

CVE-2026-40175 : Axios Prototype Pollution RCE [Critique]

11 avril 2026

•

Mis à jour le 26 mai 2026

•

4 min de lecture

•

615 mots

•

1086 vues

•

CVE-2026-40175 : score CVSS maximal 10.0, Axios permet une escalade de Prototype Pollution vers RCE et compromission cloud AWS. Mise à jour vers 1.15.0 requise.

TL;DR — En résumé

CVE-2026-40175 Axios : prototype pollution avec RCE CVSS 9.8. PoC, versions affectées <1.7.9, patch immédiat, détection SAST + supply chain.

En bref

CVE-2026-40175 (CVSS 10.0) : chaîne d'attaque Prototype Pollution → RCE et compromission cloud complète dans Axios
Versions affectées : toutes les versions d'Axios antérieures à 1.15.0
Action urgente : mettre à jour Axios vers la version 1.15.0 dans tous vos projets Node.js et navigateur

Les faits

La CVE-2026-40175, divulguée le 10 avril 2026 avec le score CVSS maximal de 10.0, affecte Axios, le client HTTP basé sur les promesses le plus utilisé de l'écosystème JavaScript. Axios compte plus de 50 millions de téléchargements hebdomadaires sur npm et est intégré dans d'innombrables applications web, API backend et outils d'automatisation à travers le monde.

La vulnérabilité repose sur une chaîne d'attaque de type « Gadget » : toute faille de Prototype Pollution présente dans une dépendance tierce du projet peut être escaladée en exécution de code à distance (RCE) ou en compromission cloud complète via un contournement du mécanisme AWS IMDSv2. Ce contournement permet à un attaquant d'extraire les credentials temporaires des instances EC2, ouvrant la porte à une prise de contrôle totale de l'infrastructure cloud.

Cette vulnérabilité est d'autant plus préoccupante qu'elle survient dans un contexte tendu pour Axios : fin mars 2026, les versions 1.14.1 et 0.30.4 du package npm avaient été compromises dans une attaque de supply chain distincte, distribuant un cheval de Troie d'accès à distance (RAT) multiplateforme. Bien que les deux incidents soient techniquement distincts, ils soulignent la surface d'attaque considérable que représente cette bibliothèque omniprésente.

Impact et exposition

L'impact est massif en raison de l'adoption quasi universelle d'Axios dans l'écosystème JavaScript. Tout projet Node.js ou application frontend utilisant une version d'Axios inférieure à 1.15.0, combinée à une dépendance tierce vulnérable à la Prototype Pollution, est potentiellement exploitable. Les environnements cloud AWS sont particulièrement menacés par le vecteur de contournement IMDSv2, qui permet l'extraction de credentials d'instance EC2.

Les applications serveur (API REST, microservices, fonctions Lambda) sont les cibles prioritaires car elles combinent souvent des dépendances multiples et un accès au réseau interne ou aux métadonnées cloud. Le vecteur d'attaque est exploitable à distance si l'attaquant peut influencer les données traitées par une dépendance vulnérable à la Prototype Pollution dans la chaîne de dépendances du projet.

Recommandations immédiates

Mettre à jour Axios vers la version 1.15.0 dans tous les projets — exécuter npm audit ou yarn audit pour identifier les versions vulnérables
Auditer l'ensemble de la chaîne de dépendances pour détecter d'éventuelles vulnérabilités de Prototype Pollution (npm audit --production)
Vérifier que les instances EC2 utilisent bien IMDSv2 en mode obligatoire avec un hop limit de 1 pour limiter l'exposition des credentials
Scanner les projets pour détecter l'utilisation des versions npm compromises (1.14.1 et 0.30.4) liées à l'attaque de supply chain de mars 2026
Mettre en place un monitoring des appels réseau sortants inhabituels depuis vos applications Node.js

⚠️ Urgence

Score CVSS maximal de 10.0. Axios est présent dans la quasi-totalité des projets JavaScript modernes. La combinaison avec une Prototype Pollution dans n'importe quelle dépendance tierce rend cette vulnérabilité systémique. Mettez à jour immédiatement l'ensemble de vos projets.

Comment savoir si je suis vulnérable ?

Exécutez npm ls axios ou yarn why axios dans chaque projet pour identifier la version installée. Toute version inférieure à 1.15.0 est vulnérable. Utilisez ensuite npm audit pour vérifier si d'autres dépendances du projet sont affectées par des failles de Prototype Pollution, condition nécessaire à l'exploitation complète de la chaîne d'attaque. Sur AWS, vérifiez la configuration IMDSv2 de vos instances avec aws ec2 describe-instances --query "Reservations[].Instances[].MetadataOptions".

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

À propos de l'auteur

Ayi NEDJIMI

Auditeur Senior Cybersécurité & Consultant IA

Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense

ayi@ayinedjimi-consultants.fr

25+

ans d'expérience

700+

articles publiés

100+

missions réalisées

Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.

À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.

Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.

Domaines d'expertise

ISO 42001 Lead Auditor ISO 27001 · NIS2 Pentest & Forensics IA / LLM / RAG Cloud & Active Directory

Voir le profil complet Demander un devis

Ressources & Outils de l'auteur

GitHub

Code & projets open source

ORCID

Identifiant chercheur

Hugging Face

Modèles IA & datasets

CertifExpress

Préparez vos certifications IT

WindowsBooster

Optimisation Windows 11

Testez vos connaissances

Mini-quiz de certification lié à cet article — propulsé par CertifExpress

Articles connexes

CVE-2026-41103 : Bypass auth SAML Jira et Confluence

CVE-2026-41103 est un contournement d'authentification SAML (CVSS 9.1) dans le plugin Microsoft SSO pour Jira et Confluence, corrigé lors du Patch Tuesday de mai 2026. Microsoft le classe comme "Exploitation More Likely" — un attaquant peut usurper n'importe quel compte sans s'authentifier, contournant également le MFA Entra ID.

26/05/2026

CVE-2026-42898 : RCE CVSS 9.9 dans Microsoft Dynamics 365

CVE-2026-42898 est une injection de code critique (CVSS 9.9) dans Microsoft Dynamics 365 on-premises, corrigée lors du Patch Tuesday de mai 2026. Un attaquant authentifié à faibles privilèges peut exécuter du code arbitraire avec scope change, compromettant potentiellement Active Directory et SQL Server.

26/05/2026

CVE-2026-31431 Copy Fail : LPE root Linux dans CISA KEV

CVE-2026-31431 "Copy Fail" est une faille vieille de 9 ans dans le noyau Linux permettant une escalade de privilèges jusqu'à root via le module algif_aead. Exploitée activement, inscrite au KEV CISA et dotée d'un exploit public de 732 octets, elle affecte toutes les distributions majeures depuis 2017.

26/05/2026

Article précédent

CVE-2026-39987 : RCE pré-authentification dans Marimo (9.3)

Article suivant

CVE-2026-3502 : zero-day TrueConf exploité par la Chine

Besoin d'un expert ?

Un projet cybersécurité ? Parlons-en.

Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin.

Nous contacter

Commentaires

Aucun commentaire pour le moment. Soyez le premier à commenter !

Laisser un commentaire