개요
Axios에서 프로토타입 오염(prototype pollution)에 의해 원격 코드 실행(RCE)이 발생하는 취약점(CVE-2026-40175)이 보고되었다.
영향 대상 및 버전
영향을 받는 버전은 v1.15.0 이전 및 v0.31.0 이전 릴리스로 명시되어 있다.
취약점 요약
해당 취약점은 객체 프로토타입을 오염시켜 원격에서 임의 코드를 실행할 수 있는 가능성을 제공하는 문제이다.
원격 코드 실행이 성공할 경우 애플리케이션 및 호스트 환경에 대한 권한 상승과 데이터 유출, 서비스 가용성 저하 등이 발생할 수 있다.
대응 권고
공식 릴리스에서 취약점 패치가 제공되었으며, 영향을 받는 환경은 패치된 버전(v1.15.0 이상 또는 v0.31.0 이상)으로 전환해야 한다.
업데이트 적용 전후로 의존성 스캔과 통합 테스트를 수행하여 변경으로 인한 부작용을 확인해야 한다.
참고 자료
공식 보안 권고 및 릴리스 노트는 GitHub Advisory와 릴리스 페이지에서 확인할 수 있다.