Axios (npm axios): Todas las versiones anteriores a 1.15.0 (incluye ramas 0.x e 1.x)<\/p>\n\n\n\n
Se ha reportado una nueva vulnerabilidad cr\u00edtica en Axios, identificada como CVE-2026-40175 con un score de 10<\/strong>, que afecta a versiones anteriores a Axios 1.15.0<\/strong>. Esta falla puede permitir a un atacante obtener acceso a entornos cloud e incluso lograr ejecuci\u00f3n remota de c\u00f3digo (RCE) cuando se combina con servicios y configuraciones espec\u00edficas, por lo que se la considera de severidad cr\u00edtica.<\/p>\n\n\n\n Axios es una librer\u00eda JavaScript de cliente HTTP basada en promesas<\/strong> que se utiliza para hacer peticiones HTTP tanto desde el navegador como desde aplicaciones Node.js. Suele estar presente en aplicaciones web y servicios backend que consumen APIs REST, especialmente en ecosistemas como React, Vue o Node.js<\/p>\n\n\n\n En este caso no se trata de paquetes maliciosos publicados en npm como en el incidente anterior, sino de una vulnerabilidad en el propio dise\u00f1o\/implementaci\u00f3n de Axios. El problema se explota manipulando cabeceras HTTP construidas a partir de datos no confiables, lo que posibilita inyectar valores y forzar peticiones del servidor hacia endpoints controlados por el atacante (por ejemplo, servicios internos o metadatos cloud). En determinados escenarios, esto puede derivar en acceso a credenciales, tokens de servicios cloud o RCE a trav\u00e9s de servicios que procesan esas peticiones.<\/p>\n\n\n\n La soluci\u00f3n recomendada es actualizar Axios a la versi\u00f3n 1.15.0 o superior<\/strong>, donde los mantenedores han corregido esta vulnerabilidad endureciendo el manejo de cabeceras y las rutas de c\u00f3digo afectadas. Se recomienda a los administradores y equipos de desarrollo identificar proyectos que dependan de Axios (tanto directas como transitivas), actualizar las dependencias en los archivos de configuraci\u00f3n (package.json\/lockfiles) y desplegar nuevamente los servicios afectados, priorizando aquellos que tengan exposici\u00f3n a Internet o acceso a recursos cloud sensibles.<\/p>\n\n\n\n Se recomienda actualizar Axios a la versi\u00f3n 1.15.0 o superior<\/strong>, donde se ha corregido la vulnerabilidad CVE-2026-40175, asegurando que tanto las dependencias directas como transitivas se actualicen en los archivos package.json y los correspondientes lockfiles (por ejemplo, package-lock.json o yarn.lock).<\/p>\n\n\n\n En el siguiente enlace encontrar\u00e1 informaci\u00f3n al respecto de le paquete afectado:<\/p>\n\n\n\nSoluci\u00f3n:<\/h2>\n\n\n\n
\n