发布日期：2026-02-09
更新日期：2026-04-09

受影响系统：

Axios Axios < 1.13.5
Axios Axios < 0.30.3

描述：

---

CVE(CAN) ID: CVE-2026-25639

Axios是Axios开源的一款基于Promise（异步编程的一种解决方案）的HTTP客户端。
Axios 0.30.3之前版本和1.13.5之前版本存在拒绝服务漏洞，该漏洞源于mergeConfig函数处理包含__proto__作为自有属性的配置对象时会因TypeError崩溃，攻击者可利用该漏洞通过JSON.parse()提供恶意构造的配置对象来触发此漏洞导致完全拒绝服务。

<*链接：https://github.com/axios/axios/security/advisories/GHSA-43fc-jf86-j433
*>

建议：

---

厂商补丁：

Axios
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/axios/axios/commit/28c721588c7a77e7503d0a434e016f852c597b57

浏览次数：37
严重程度：0（网友投票）