【安全大事件】知名前端库 Axios 被投毒！CVE-2026-25639 高危漏洞可导致 Node.js 服务器崩溃

2026年2月，JavaScript 生态遭遇重大安全危机！知名 HTTP 客户端库 Axios 被发现存在高危安全漏洞 CVE-2026-25639，该漏洞允许远程攻击者通过发送单个恶意请求触发拒绝服务（DoS）攻击，导致 Node.js 服务器瞬间崩溃。这一漏洞影响所有 Axios 版本至 1.13.4，CVSS 评分高达 7.5（高危）。如果你是前端或 Node.js 开发者，请立即检查并升级！

🚨 漏洞概览

字段	详情
CVE ID	CVE-2026-25639
严重程度	高危（CVSS 7.5）
受影响包	axios (npm)
受影响版本	<= 1.13.4
影响	拒绝服务（服务器崩溃）
攻击向量	网络（远程）
修复版本	1.13.5

🔍 漏洞原理

该漏洞存在于 Axios 的 mergeConfig 函数中，该函数用于合并不同的配置对象。当函数处理包含 __proto__ 作为键的配置对象时，会导致应用程序崩溃。

攻击流程

• Axios 默认遍历配置属性以合并它们
• 攻击者提供包含 __proto__ 的恶意 JSON 对象
• Axios 尝试查找合并策略，但意外获取到 Object.prototype
• 代码尝试将原型作为函数调用
• 由于 Object.prototype 是对象而非函数，抛出 TypeError
• 应用程序瞬间崩溃

攻击示例

攻击者只需发送如下 payload 即可让服务器崩溃：

{"__proto__": {"x": 1}}

这种简单的攻击方式使其获得低攻击复杂度评级，但危害极大。

🎯 攻击场景

该漏洞专门针对以下应用场景：

• 接受用户控制输入（如 JSON body）的应用
• 使用 JSON.parse() 解析输入
• 将解析后的对象传入 Axios 配置（如 axios.get(url, userConfig)）

符合以上条件的应用都面临被攻击风险，一个恶意请求即可让整个服务下线，影响所有用户。

⚠️ 与原型污染的区别

需要注意的是，这个漏洞不同于传统的原型污染漏洞。在传统原型污染中，攻击者通过修改对象原型来影响其他对象；而在这个漏洞中，应用程序在属性被污染之前就崩溃了。

这种崩溃机制使得攻击更加直接和致命——没有复杂的利用链，一击即溃。

🛡️ 修复方案

立即升级

Axios 官方已在 版本 1.13.5 中修复此漏洞，正确处理 __proto__ 键以防止类型错误。

使用 npm 升级：

npm update axios

使用 yarn 升级：

yarn upgrade axios

检查当前版本：

npm list axios

验证修复

升级后，确保 package.json 中的 axios 版本为：

"axios": ">=1.13.5"

📊 影响范围

Axios 是 JavaScript 生态系统中最流行的 HTTP 客户端库之一，每周下载量超过 5000 万次。该漏洞影响范围极广：

• 前端项目：使用 Axios 的 Vue、React、Angular 应用
• Node.js 后端：使用 Axios 的服务端应用
• 微服务架构：服务间通信使用 Axios
• 企业级应用：大量企业系统依赖 Axios

🔍 如何检测

1. 检查依赖版本

# 检查项目中的 axios 版本
npm list axios

# 或查看 package.json
cat package.json | grep axios

2. 使用安全扫描工具

# 使用 npm audit
npm audit

# 使用 Snyk
snyk test

💡 安全建议

• 立即升级：所有使用 axios <= 1.13.4 的项目立即升级到 1.13.5
• 审计依赖：检查项目所有依赖，确保没有间接引入旧版本 axios
• 输入验证：对用户输入进行严格验证，避免直接传入配置对象
• 监控告警：加强服务器监控，及时发现异常崩溃
• 安全测试：定期进行安全测试，发现潜在漏洞

📝 总结

CVE-2026-25639 是 Axios 库的一个高危拒绝服务漏洞，攻击者可通过简单的恶意 JSON 对象让 Node.js 服务器瞬间崩溃。该漏洞影响广泛，危害严重。

作为开发者，我们必须时刻保持警惕：及时更新依赖、验证用户输入、加强安全测试。安全无小事，一个看似简单的配置合并函数，也可能成为致命的攻击入口。

如果你还在使用 axios <= 1.13.4，请立即升级到 1.13.5，保护你的应用和用户安全！

安全无小事，升级不容缓！🛡️