CVE-2026-40175: Vulnerabilidad crítica en Axios, cómo parchear

La vulnerabilidad crítica CVE-2026-40175 en la biblioteca Axios, con una puntuación CVSS de 10.0, permite a un atacante remoto escalar una contaminación de prototipo (prototype pollution) en dependencias de terceros hasta lograr la ejecución remota de código (RCE) o el compromiso total de entornos cloud mediante un bypass de AWS IMDSv2. Este fallo, catalogado como el nivel máximo de severidad, afecta a millones de aplicaciones web y servicios backend que utilizan esta popular librería HTTP para Node.js y navegadores.

Severidad extrema: CVSS 10.0 (CRÍTICA). Vector de ataque de red, sin autenticación y sin interacción del usuario.
Mecanismo de explotación: Cadena de ataques «Gadget» que convierte una contaminación de prototipo en RCE o compromiso cloud completo.
Impacto operativo: Permite a un atacante tomar el control total del servidor o acceder a credenciales y metadatos en infraestructuras cloud (AWS, GCP, Azure).
Versión segura: Axios 1.15.0 corrige la vulnerabilidad. Todas las versiones anteriores son vulnerables.
Estado de exploit: No se ha confirmado un exploit público en el momento de la publicación, pero la criticidad exige una acción inmediata.

📋 Ficha técnica

CVE ID	CVE-2026-40175
Severidad (CVSS)	10.0 – CRÍTICA
Vector CVSS	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Productos afectados	Axios (biblioteca HTTP para Node.js y navegador)
Exploit público	No
Fecha publicación	10 de abril de 2026

⚠️ ALERTA DE SEGURIDAD: La puntuación CVSS 10.0 de CVE-2026-40175 representa un riesgo de compromiso total del sistema y la nube. Recomendamos aplicar el parche de manera inmediata, incluso sin exploit público confirmado, dada la facilidad de explotación potencial.

Sistemas y versiones afectadas por la vulnerabilidad CVE-2026-40175

El alcance de CVE-2026-40175 es masivo, ya que Axios es una de las bibliotecas HTTP más utilizadas en el ecosistema JavaScript. La vulnerabilidad reside en cómo la librería maneja ciertos objetos y permite que una contaminación de prototipo en una dependencia de terceros sea escalada por un atacante. A continuación, detallamos las versiones concretas implicadas.

Producto	Versiones vulnerables	Versión parcheada
Axios (biblioteca HTTP para Node.js y navegador)	Todas las versiones anteriores a 1.15.0	1.15.0 y superiores

Esta tabla es aplicable a cualquier proyecto, framework o aplicación que incorpore Axios como dependencia directa o transitiva. Es crucial revisar no solo vuestro package.json, sino también el árbol de dependencias completo, ya que muchas librerías podrían estar utilizando una versión vulnerable de Axios internamente.

Terminal mostrando un listado de versiones de software, ilustrando la auditoría de dependencias afectadas. — Foto: Liam Briese vía Unsplash

Análisis del vector de ataque y el impacto en CVE-2026-40175

El núcleo de CVE-2026-40175 es una cadena de gadgets que aprovecha la contaminación de prototipo. En esencia, un atacante puede inyectar propiedades maliciosas en el prototipo de un objeto JavaScript (por ejemplo, Object.prototype) a través de una dependencia vulnerable. Axios, al no sanitizar correctamente ciertas entradas, propaga esta contaminación y permite que sea explotada para lograr objetivos de mayor alcance.

El escenario más peligroso implica el bypass de AWS IMDSv2 (Instance Metadata Service). Si una aplicación vulnerable se ejecuta en una instancia de AWS EC2, un atacante podría utilizar esta vulnerabilidad para acceder a los metadatos de la instancia y robar credenciales temporales de IAM, comprometiendo así no solo la máquina, sino toda la cuenta de AWS asociada.

Cómo parchear Axios para mitigar CVE-2026-40175: guía paso a paso

La corrección de CVE-2026-40175 está disponible en la versión 1.15.0 de Axios. El proceso de parcheo varía ligeramente según el entorno y el gestor de paquetes. A continuación, proporcionamos instrucciones detalladas para los escenarios más comunes.

Actualización de Axios en proyectos Node.js y npm

Para proyectos que utilizan npm, el comando de actualización forzará la instalación de la versión segura. Es recomendable verificar primero las dependencias transitivas.

Vista de primer plano de un terminal ejecutando comandos de actualización de npm para parchar Axios. — Foto: Bernd 📷 Dittrich vía Unsplash

# Actualizar Axios a la versión parcheada
npm update axios@1.15.0

# Verificar que la versión correcta está instalada
npm list axios

Si utilizáis Yarn, el proceso es similar. Aseguraos de que el archivo package.json refleja la versión actualizada.

# Con Yarn 1.x
yarn upgrade axios@1.15.0

# Con Yarn Berry (moderno)
yarn up axios@1.15.0

Actualización en aplicaciones web del lado del cliente

Para aplicaciones que cargan Axios directamente en el navegador (via CDN o bundler como Webpack), debéis aseguraros de que el bundler resuelva la versión 1.15.0. Si usáis un CDN, cambiad la referencia a la URL de la versión parcheada.

<!-- Versión vulnerable (NO USAR) -->
<script src="https://cdn.jsdelivr.net/npm/axios@1.14.0/dist/axios.min.js"></script>

<!-- Versión parcheada (SEGURO) -->
<script src="https://cdn.jsdelivr.net/npm/axios@1.15.0/dist/axios.min.js"></script>

Tras actualizar, ejecutad vuestras suites de pruebas para comprobar que la aplicación sigue funcionando correctamente. La versión 1.15.0 mantiene compatibilidad hacia atrás en la API pública.

Medidas adicionales de mitigación para CVE-2026-40175

En casos donde la actualización inmediata no sea factible (por ejemplo, en entornos de producción críticos que requieren una ventana de mantenimiento), existen workarounds que pueden reducir la superficie de ataque. Estas medidas no sustituyen al parche, pero proporcionan una capa de defensa temporal.

Workaround temporal: restricción de acceso y auditoría de dependencias

Una estrategia efectiva es restringir el acceso de red a los servicios vulnerables. Si vuestra aplicación utiliza Axios solo para comunicarse con APIs internas, limitad el tráfico de salida mediante reglas de firewall.

Diagrama de reglas de firewall y seguridad de red, representando las medidas de mitigación. — Foto: Shubham Dhage vía Unsplash

# Ejemplo de regla iptables para restringir tráfico saliente (solo permitir IPs conocidas)
iptables -A OUTPUT -p tcp --dport 443 -d 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j DROP

Además, audita vuestras dependencias en profundidad para identificar cualquier librería que pueda estar introduciendo una versión vulnerable de Axios. Herramientas como npm audit o yarn audit pueden ayudar, pero también podéis usar scanners dedicados.

# Ejecutar un audit completo
yarn audit --groups dependencies

# O usando el parche de npm
npm audit fix --force

Para entornos cloud, especialmente AWS, considerad restringir el acceso a IMDSv2 mediante políticas de IAM que limiten los permisos de la instancia EC2 al mínimo necesario. Implementad también el uso obligatorio de IMDSv2 (deshabilitando IMDSv1) en vuestras configuraciones de launch template.

✅ Lista de verificación post-parche:

Verificad que la versión de Axios en node_modules/axios/package.json sea 1.15.0 o superior.
Ejecutad pruebas de integración para confirmar que las funcionalidades HTTP de vuestra aplicación no se han roto.
Monitoread los logs de aplicación y red en busca de actividades sospechosas que pudieran indicar un intento de explotación previo al parche.
Consultad las referencias oficiales: GHSA-fvcv-3m26-pcqx y NVD entry for CVE-2026-40175.

Referencias y recursos oficiales

NVD – CVE-2026-40175 — Base de datos nacional de vulnerabilidades (NIST)
Referencia: github.com
Referencia: github.com
Referencia: github.com

Recursos y fuentes oficiales:

¿Tu organización está preparada ante las ciberamenazas?

En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.

→ Conoce nuestros servicios y da el primer paso