✅ レポートタイトル：「Axios」ヘッダーインジェクションチェーン脆弱性の概要（CVE-2026-40175）

✅ レポートの要約：

📌 「Axios」ヘッダーインジェクションチェーン脆弱性の詳細

- 2026年4月10日、CVE-2026-40175として特定された「Axios」のHTTPヘッダーインジェクションチェーン脆弱性が緊急にパッチ適用されました。

- 本脆弱性は0.31.0、1.15.0未満のバージョンに影響します。

- 2026年4月10日にCVSS 3.1スコア10.0（Critical）として公開され、パッチが提供されました。

- 2026年4月14日時点で既知の悪用事例は確認されていませんが、「Axios」の広範な利用状況を考慮すると、クラウド環境の侵害など大きな影響が想定されるため、積極的な脅威検知が推奨されます。

📌 参考事例：2026年3月のNPMパッケージサプライチェーン攻撃

- 2026年3月31日00:21～03:20（UTC）の間、JavaScriptエコシステムで広く利用されているHTTPクライアントライブラリの一つであるaxios NPMパッケージに対するサプライチェーン攻撃が発生しました。

- Wizによると、axiosは週あたり約1億回ダウンロードされ、クラウドおよびコード環境の約80%に存在しています。攻撃者はメンテナーアカウントを侵害し、悪性依存パッケージ（plain-crypto-js）を挿入し、クロスプラットフォーム型バックドア（WAVESHAPER.V2）を配布しました。

- 悪性バージョンは数時間以内に削除されましたが、Wizは影響を受けた環境の約3%で実際にマルウェアが実行されたと報告しています。

📌 脆弱性の発生原因

- 本脆弱性は、AxiosHeaders.jsにおけるHTTPヘッダー値のCRLF検証不足と、プロトタイプ汚染によるプロパティのヘッダー処理経路への流入が組み合わさることで発生するインジェクション脆弱性です。

- 対象サーバー上でqsやminimistなどのサードパーティパッケージを通じてObject.prototypeが事前に汚染されると、汚染されたプロパティが正規のデフォルトヘッダーとして認識され、「AxiosHeaders.set」に渡されます。

- HTTPアダプター（lib/adapters/http.js）はheaders.toJSON()の結果をNode.jsのhttp(s).requestのoptions.headersにそのまま渡します。Node.jsはヘッダー値を再検証しないため、単一のTCPストリーム内に2つのHTTPリクエストが含まれる可能性があります。

- 分割されたパケットは独立したHTTPリクエスト（Smuggled Request）として解釈され、不正なPUTリクエストがメタデータサービスへ送信されることで、認証情報の窃取につながる可能性があります。