CVE-2026-40175 : score CVSS maximal 10.0, Axios permet une escalade de Prototype Pollution vers RCE et compromission cloud AWS. Mise à jour vers 1.15.0 requise.
En bref
- CVE-2026-40175 (CVSS 10.0) : chaîne d'attaque Prototype Pollution → RCE et compromission cloud complète dans Axios
- Versions affectées : toutes les versions d'Axios antérieures à 1.15.0
- Action urgente : mettre à jour Axios vers la version 1.15.0 dans tous vos projets Node.js et navigateur
Les faits
La CVE-2026-40175, divulguée le 10 avril 2026 avec le score CVSS maximal de 10.0, affecte Axios, le client HTTP basé sur les promesses le plus utilisé de l'écosystème JavaScript. Axios compte plus de 50 millions de téléchargements hebdomadaires sur npm et est intégré dans d'innombrables applications web, API backend et outils d'automatisation à travers le monde.
La vulnérabilité repose sur une chaîne d'attaque de type « Gadget » : toute faille de Prototype Pollution présente dans une dépendance tierce du projet peut être escaladée en exécution de code à distance (RCE) ou en compromission cloud complète via un contournement du mécanisme AWS IMDSv2. Ce contournement permet à un attaquant d'extraire les credentials temporaires des instances EC2, ouvrant la porte à une prise de contrôle totale de l'infrastructure cloud.
Cette vulnérabilité est d'autant plus préoccupante qu'elle survient dans un contexte tendu pour Axios : fin mars 2026, les versions 1.14.1 et 0.30.4 du package npm avaient été compromises dans une attaque de supply chain distincte, distribuant un cheval de Troie d'accès à distance (RAT) multiplateforme. Bien que les deux incidents soient techniquement distincts, ils soulignent la surface d'attaque considérable que représente cette bibliothèque omniprésente.
Impact et exposition
L'impact est massif en raison de l'adoption quasi universelle d'Axios dans l'écosystème JavaScript. Tout projet Node.js ou application frontend utilisant une version d'Axios inférieure à 1.15.0, combinée à une dépendance tierce vulnérable à la Prototype Pollution, est potentiellement exploitable. Les environnements cloud AWS sont particulièrement menacés par le vecteur de contournement IMDSv2, qui permet l'extraction de credentials d'instance EC2.
Les applications serveur (API REST, microservices, fonctions Lambda) sont les cibles prioritaires car elles combinent souvent des dépendances multiples et un accès au réseau interne ou aux métadonnées cloud. Le vecteur d'attaque est exploitable à distance si l'attaquant peut influencer les données traitées par une dépendance vulnérable à la Prototype Pollution dans la chaîne de dépendances du projet.
Recommandations immédiates
- Mettre à jour Axios vers la version 1.15.0 dans tous les projets — exécuter
npm auditouyarn auditpour identifier les versions vulnérables - Auditer l'ensemble de la chaîne de dépendances pour détecter d'éventuelles vulnérabilités de Prototype Pollution (
npm audit --production) - Vérifier que les instances EC2 utilisent bien IMDSv2 en mode obligatoire avec un hop limit de 1 pour limiter l'exposition des credentials
- Scanner les projets pour détecter l'utilisation des versions npm compromises (1.14.1 et 0.30.4) liées à l'attaque de supply chain de mars 2026
- Mettre en place un monitoring des appels réseau sortants inhabituels depuis vos applications Node.js
⚠️ Urgence
Score CVSS maximal de 10.0. Axios est présent dans la quasi-totalité des projets JavaScript modernes. La combinaison avec une Prototype Pollution dans n'importe quelle dépendance tierce rend cette vulnérabilité systémique. Mettez à jour immédiatement l'ensemble de vos projets.
Comment savoir si je suis vulnérable ?
Exécutez npm ls axios ou yarn why axios dans chaque projet pour identifier la version installée. Toute version inférieure à 1.15.0 est vulnérable. Utilisez ensuite npm audit pour vérifier si d'autres dépendances du projet sont affectées par des failles de Prototype Pollution, condition nécessaire à l'exploitation complète de la chaîne d'attaque. Sur AWS, vérifiez la configuration IMDSv2 de vos instances avec aws ec2 describe-instances --query "Reservations[].Instances[].MetadataOptions".
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2025-2749 : RCE Kentico Xperience inscrite au KEV CISA
CVE-2025-2749 : path traversal Kentico Xperience vers RCE, ajoutée au KEV CISA le 20 avril 2026. Échéance fédérale fixée au 4 mai 2026.
CVE-2026-34621 : Adobe Acrobat zero-day PDF exploité 4 mois
CVE-2026-34621 : zero-day Adobe Acrobat / Reader exploité depuis décembre 2025 via PDF malveillant, patch APSB26-43 publié le 11 avril 2026.
CVE-2026-35616 : FortiClient EMS API auth bypass exploité
CVE-2026-35616 expose les serveurs FortiClient EMS 7.4.5 et 7.4.6 à un bypass d'authentification API exploité in-the-wild depuis le 31 mars 2026.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire