Axios 曝高危漏洞，可致 Node.js 服务崩溃

近日，全球广泛使用的 HTTP 客户端库 Axios 曝出一个高危漏洞（CVE-2026-25639），CVSS 评分为 7.5。该漏洞存在于核心配置合并函数 `mergeConfig` 中，当处理包含 `__proto__` 自有属性的配置对象时，会触发 TypeError 错误，导致 Node.js 进程崩溃。

主要受影响的场景为：

• 使用 Axios 的 Node.js 服务器；

• 应用程序接收用户输入，通过 `JSON.parse()` 解析后，将其传入 Axios 配置。

攻击者只需构造类似 `{"__proto__": {"x": 1}}` 的恶意 JSON 载荷，一旦被解析并传递给 Axios，即可引发服务拒绝，使得整个应用下线，需人工重启才能恢复。

Axios 维护团队已发布版本 1.13.4 修复该问题，建议所有开发者立即升级至 1.13.4 或更高版本（如 1.13.5），以避免潜在的服务中断风险。

参考来源：

• 漏洞编号 CVE-2026-25639  

• Axios 官方发布版本 1.13.4 修复该问题  

• CVSS 评分来自通用漏洞评分系统