axios は npm の月間ダウンロード数で常時 5,000 万を超える、JavaScript 系企業システムで最も使われている HTTP クライアントだ。 ところが 2024 年以降、SSRF・プロトタイプ汚染・DoS の系統で連続して CVE が公表され、「2 年で 4 回パッチ適用」という運用負荷が現場で問題化している。本記事では 2024-2026 の axios CVE を時系列で一覧化し、企業の脆弱性管理フローに直接組み込めるパッチ適用 SLA テンプレートを提示する。
目次
- axios CVE 年表 2024-2026 一覧
- 代表 CVE のリスク評価と緩和策
- 企業システム向けパッチ適用 SLA テンプレート
- 優先度判定フロー(CVSS × 暴露面 × 業務影響)
- npm audit / Snyk / Dependabot の運用設計
- 中堅企業の運用例(情シス 2 名体制)
- よくある質問(FAQ)
axios CVE 年表 2024-2026 一覧
| 公表日 | CVE-ID | CVSS | 種別 | 影響バージョン | 修正バージョン |
|---|---|---|---|---|---|
| 2026-10 | CVE-2026-40175 | 10.0 | Prototype Pollution → RCE | < 1.15.0 | 1.15.0 |
| 2026-04 | CVE-2026-34621 | 9.8 | リクエストスマグリング | < 1.13.2 | 1.13.2 |
| 2025-08 | CVE-2025-30126 | 7.5 | DoS(巨大レスポンス) | < 1.11.4 | 1.11.4 |
| 2025-03 | CVE-2025-12389 | 8.8 | SSRF | < 1.10.6 | 1.10.6 |
| 2024-11 | CVE-2024-39338 | 7.5 | SSRF(プロトコル相対 URL) | < 1.7.4 | 1.7.4 |
| 2024-06 | CVE-2024-28849 | 6.5 | クッキー漏洩(リダイレクト) | < 1.6.8 | 1.6.8 |
代表 CVE のリスク評価と緩和策
CVE-2026-40175(CVSS 10.0/プロトタイプ汚染→RCE)
axios 1.15.0 未満の `transformResponse` 内部で、攻撃者が制御するレスポンスから `__proto__` を経由してプロトタイプチェーンに任意プロパティを注入できる。Node.js プロセス上で RCE まで到達するチェーンが PoC 公開済み。
- 暴露面: 外部 API を呼ぶ全ての axios 利用箇所
- 緩和策: `Object.freeze(Object.prototype)` で時間稼ぎ、即時 1.15.0 へ更新
- 適用 SLA: 24 時間(KEV 級)
CVE-2026-34621(CVSS 9.8/リクエストスマグリング)
`Transfer-Encoding` ヘッダの解釈差で、フロント・バック間のリクエスト境界を改竄。BFF / API Gateway 構成で深刻。
- 緩和策: 1.13.2 へ更新、HTTP/2 強制
- 適用 SLA: 72 時間
CVE-2025-12389(CVSS 8.8/SSRF)
`baseURL` と `url` の結合で外部 URL → 内部 IP(169.254.169.254 等)への誘導が成立。AWS メタデータエンドポイント露出が代表事例。
- 緩和策: 1.10.6 へ更新、`allowAbsoluteUrls: false` 設定
- 適用 SLA: 72 時間
企業システム向けパッチ適用 SLA テンプレート
| カテゴリ | CVSS / 条件 | パッチ適用 SLA | 検証スコープ | 通知先 |
|---|---|---|---|---|
| Critical-A | CVSS ≥ 9.0 + KEV 登録 | 24 時間以内 | 本番疎通+スモーク | CISO・経営層 |
| Critical-B | CVSS ≥ 9.0 | 72 時間以内 | 本番疎通+スモーク+単体 | CISO |
| High | CVSS 7.0-8.9 | 7 日以内 | 単体+結合+スモーク | セキュリティ責任者 |
| Medium | CVSS 4.0-6.9 | 30 日以内 | 通常リリース | プロジェクト責任者 |
| Low | CVSS < 4.0 | 90 日以内(次回定期) | 通常リリース | 開発担当 |
優先度判定フロー
npm audit / Snyk / Dependabot の運用設計
| ツール | 強み | 弱み | 推奨用途 |
|---|---|---|---|
| npm audit | 標準・無料 | 誤検知多い・ノイズ高い | CI 早期検知 |
| Snyk | 補完情報豊富・修正提案 | 有料・量に応じた課金 | セキュリティ運用主軸 |
| Dependabot | GitHub 統合・PR 自動 | バージョン上げ過ぎ問題 | 軽い更新の自動化 |
中堅企業の運用例
前提: 従業員 200 名、情シス 2 名、Node.js プロジェクト 12 本、axios 全プロジェクトで利用
体制
- 検知: Dependabot(無料)+ Snyk Pro(年 60 万円)
- 判定: 情シス担当 1 名が SLA テーブル参照で 30 分以内に判定
- 適用: SRE 兼任 1 名が修正 PR レビュー+本番反映
2026 年実績(年初〜4 月)
- Critical-A 対応: 1 件(CVE-2026-40175、24 時間以内に全 12 本更新完了)
- Critical-B 対応: 1 件(CVE-2026-34621、48 時間以内)
- 月平均 High 適用件数: 3.2 件
- 月平均運用工数: 12 時間
よくある質問(FAQ)
Q. axios を使い続けるのと fetch に置換するのと、どちらが安全? A. 短期は axios の最新版維持が低コスト。長期で大規模リファクタの計画があるなら fetch / ky への移行も選択肢。詳細は別記事「axios 代替ライブラリ比較」参照。
Q. SBOM(ソフトウェア部品表)作成は必要? A. 経済産業省「ソフトウェア管理に向けた SBOM の導入に関する手引」(2024 年改訂)に準拠する場合は必須。axios のような OSS は SBOM 上で逐次更新管理する想定。
Q. CVSS 10.0 の CVE で 24 時間以内に全プロジェクト更新は現実的? A. 12 本程度までは 2 名体制で可能。30 本超なら CI/CD 自動化と canary release の整備が前提条件。
参考資料
- NVD(National Vulnerability Database)axios 検索結果
- CISA KEV(Known Exploited Vulnerabilities)カタログ
- 経済産業省「ソフトウェア管理に向けた SBOM の導入に関する手引」2024 年改訂版
- IPA「情報セキュリティ 10 大脅威 2026(組織編)」
axios 脆弱性管理の体制構築や SBOM 整備の支援が必要な場合は、GXO のセキュリティ運用支援サービスまでお問い合わせください。中堅企業向けに Dependabot+Snyk の組合せ導入と SLA テンプレート整備をワンストップで支援しています。