CVE-2026-40175 : Axios Prototype Pollution RCE [Critique]

Les faits

La CVE-2026-40175, divulguée le 10 avril 2026 avec le score CVSS maximal de 10.0, affecte Axios, le client HTTP basé sur les promesses le plus utilisé de l'écosystème JavaScript. Axios compte plus de 50 millions de téléchargements hebdomadaires sur npm et est intégré dans d'innombrables applications web, API backend et outils d'automatisation à travers le monde.

La vulnérabilité repose sur une chaîne d'attaque de type « Gadget » : toute faille de Prototype Pollution présente dans une dépendance tierce du projet peut être escaladée en exécution de code à distance (RCE) ou en compromission cloud complète via un contournement du mécanisme AWS IMDSv2. Ce contournement permet à un attaquant d'extraire les credentials temporaires des instances EC2, ouvrant la porte à une prise de contrôle totale de l'infrastructure cloud.

Cette vulnérabilité est d'autant plus préoccupante qu'elle survient dans un contexte tendu pour Axios : fin mars 2026, les versions 1.14.1 et 0.30.4 du package npm avaient été compromises dans une attaque de supply chain distincte, distribuant un cheval de Troie d'accès à distance (RAT) multiplateforme. Bien que les deux incidents soient techniquement distincts, ils soulignent la surface d'attaque considérable que représente cette bibliothèque omniprésente.

Impact et exposition

L'impact est massif en raison de l'adoption quasi universelle d'Axios dans l'écosystème JavaScript. Tout projet Node.js ou application frontend utilisant une version d'Axios inférieure à 1.15.0, combinée à une dépendance tierce vulnérable à la Prototype Pollution, est potentiellement exploitable. Les environnements cloud AWS sont particulièrement menacés par le vecteur de contournement IMDSv2, qui permet l'extraction de credentials d'instance EC2.

Les applications serveur (API REST, microservices, fonctions Lambda) sont les cibles prioritaires car elles combinent souvent des dépendances multiples et un accès au réseau interne ou aux métadonnées cloud. Le vecteur d'attaque est exploitable à distance si l'attaquant peut influencer les données traitées par une dépendance vulnérable à la Prototype Pollution dans la chaîne de dépendances du projet.

Recommandations immédiates

• Mettre à jour Axios vers la version 1.15.0 dans tous les projets — exécuter npm audit ou yarn audit pour identifier les versions vulnérables
• Auditer l'ensemble de la chaîne de dépendances pour détecter d'éventuelles vulnérabilités de Prototype Pollution (npm audit --production)
• Vérifier que les instances EC2 utilisent bien IMDSv2 en mode obligatoire avec un hop limit de 1 pour limiter l'exposition des credentials
• Scanner les projets pour détecter l'utilisation des versions npm compromises (1.14.1 et 0.30.4) liées à l'attaque de supply chain de mars 2026
• Mettre en place un monitoring des appels réseau sortants inhabituels depuis vos applications Node.js