Se ha emitido una alerta de máxima severidad tras la divulgación de una nueva vulnerabilidad crítica (CVSS 10.0) en Axios, la biblioteca de cliente HTTP para JavaScript que se estima está presente en el 80% de los entornos de código y nube a nivel global. Identificada como CVE-2026-40175, esta falla es completamente independiente del reciente ataque a la cadena de suministro que sufrió el mismo paquete el mes pasado. El propio mantenedor de Axios ha confirmado el problema estructural y ha publicado una Prueba de Concepto (PoC) funcional, advirtiendo que la falla puede ser escalada para lograr la Ejecución Remota de Código (RCE) o el compromiso absoluto de la infraestructura cloud.
Anatomía del Ataque
El origen de esta vulnerabilidad radica en la falta de sanitización de las cabeceras HTTP y en ciertas capacidades de Falsificación de Solicitudes del Lado del Servidor (SSRF) integradas por defecto. La cadena de explotación es particularmente sigilosa porque requiere “cero entrada directa del usuario” y funciona usando a Axios como un trampolín (gadget):
- Contaminación de Prototipos Previa: El ataque asume que el actor de amenazas ya ha logrado contaminar el estado de la aplicación (Object.prototype) a través de una debilidad en cualquier otra biblioteca secundaria de la pila tecnológica (por ejemplo, qs, minimist, body-parser, etc.).
- Fusión Insegura de Cabeceras: Cuando Axios procesa operaciones e intenta fusionar los objetos de configuración, absorbe automáticamente las propiedades contaminadas sin validarlas de manera exhaustiva.
- Inyección CRLF (Contrabando de Solicitudes): Debido a que el cliente no sanitiza estos valores combinados para buscar secuencias de retorno de carro y salto de línea (\r\n), la propiedad contaminada se inyecta directamente.
- Ejecución del SSRF: Esto convierte a la propiedad en una carga útil de HTTP Request Smuggling (Contrabando de Solicitudes). El atacante utiliza esta vía para obligar a Axios a enviar de contrabando solicitudes HTTP no autorizadas hacia servicios internos.
Impacto
El impacto del CVE-2026-40175 es devastador, particularmente para arquitecturas alojadas en proveedores como AWS, Azure o GCP. Al lograr el contrabando de solicitudes desde el propio servidor backend, los cibercriminales pueden apuntar directamente al Servicio de Metadatos de la Instancia de AWS (IMDSv2) u otros servicios análogos. Esto facilita la elusión de restricciones de red, la extracción en texto plano de tokens y credenciales de acceso a la nube, y culmina en la toma de control de los servidores, bases de datos y segmentos de red privados de la organización.
Recomendaciones y Mitigación
Dado que la Prueba de Concepto (PoC) es de conocimiento público, la ventana de oportunidad para que los atacantes automaticen la explotación es sumamente estrecha. Los equipos de seguridad deben accionar lo siguiente:
- Actualización Urgente (Mandatoria): Proceder con la actualización inmediata de todas las aplicaciones e integraciones que dependan de este paquete hacia la versión 1.15.0 de Axios. Esta versión incorpora un parche directo que bloquea la amenaza arrojando un error fatal si se detectan caracteres CRLF en las cabeceras.
- Análisis de Composición de Software (SCA): Ya que la explotación requiere la contaminación de prototipos en otras herramientas, es crítico auditar el árbol de dependencias (package.json) completo con escáneres de vulnerabilidades para identificar y actualizar librerías de terceros que faciliten el acceso inicial a Object.prototype.
- Endurecimiento Perimetral en la Nube: Como medida de defensa en profundidad, configure los entornos de infraestructura como código (IaC) para exigir estrictamente el uso de IMDSv2 en todas las instancias (deshabilitando v1) y asegure que el límite de saltos de red (hop limit) esté configurado correctamente para bloquear el acceso de contenedores o servicios vulnerados al servicio de metadatos de la nube.
