CVE-2026-40175｜Axios存在CRLF注入漏洞（POC）

0x00 前言

Axios是一款基于Promise的HTTP客户端库，兼具同构特性，能在浏览器和Node.js环境中顺畅运行。在浏览器端它以XMLHttpRequest为基础实现，Node.js端则依托原生http模块。

它支持GET、POST等多种HTTP请求方法，提供请求与响应拦截、自动JSON数据转换、请求取消、并发请求控制等实用功能，还能通过双重Cookie机制帮助客户端防御CSRF攻击，内置TypeScript类型定义，也允许自定义HTTP适配器。

开发者可通过npm、yarn等包管理工具安装，常被用于前后端分离架构、微服务通信等场景，是当前前端领域流行的网络请求工具之一。

0x01 漏洞描述

CRLF注入，又称HTTP响应拆分（HTTP Response Splitting），其核心原理是利用Web应用程序未对用户输入中的回车符（CR, \r, %0d）和换行符（LF, \n, %0a）进行严格过滤或转义，导致攻击者能够操纵HTTP响应的结构。

Axios 内部的配置合并与请求处理逻辑存在安全缺陷，可被用作“Gadget”（利用链组件）。

当目标应用受到其他第三方依赖的原型污染漏洞（Prototype Pollution）影响时，攻击者可以通过污染全局Object.prototype，触发Axios侧的恶意行为。

该漏洞可导致远程代码执行（RCE）或通过绕过AWS IMDSv2安全机制导致完整的云环境权限泄露（Full Cloud Compromise）。

0x02 CVE编号

CVE-2026-40175

0x03 影响版本

axios >=1.0.0 <1.15.0

axios <0.31.0

0x04 漏洞详情

POC：

https://github.com/pjt3591oo/CVE-2026-40175-poc

（图片来源于网络）

0x05 参考链接

https://github.com/axios/axios/security/advisories/GHSA-fvcv-3m26-pcqx

推荐阅读：

CVE-2026-34197｜Apache ActiveMQ远程代码执行漏洞（POC）

CVE-2025-55182｜React/Next.js远程代码执行漏洞（POC）

CVE-2024-34351｜Next.js框架存在SSRF漏洞

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持

！！！