axiosのバージョン1.14.xは脆弱性あり
先々週、axiosで悪意のあるコードがユーザーに配布された事件が話題になりました。
axiosの古いバージョンを使用している場合、以下のようなリスクがあります。
- 外部にデータが送信される可能性
- 意図しないリクエストの発生
- セキュリティ侵害のリスク
日本国内でも話題になった事件なので、多くの企業でaxiosのバージョンがアップデートされました。
しかし、2026年4月9日にaxiosにおいて、極めて深刻な脆弱性(CVE-2026-40175)が公表されたため、現在の安全なバージョンは1.15.0です。
Unrestricted Cloud Metadata Exfiltration via Header Injection Chain
訳: ヘッダーインジェクションを利用したクラウドメタデータの不正取得
axiosのバージョン1.14.xのままの企業が多い
2026年3月31日のサプライチェーン攻撃のときは多くのニュースサイトなどに掲載されたので、問題のある1.14.1から安全な1.14.0に変更した企業が多かったです。
しかし、2026年4月9日の脆弱性は前回の半分以下しかニュースサイトなどに掲載されなかったため、認知度が低く、いまだに1.14.xのWebサイトが多くあります。
心当たりのある方は、いますぐターミナルでプロジェクトフォルダに移動して「npm list axios」を実行してaxiosのバージョンが1.14.x以下になっていないか、確認することを推奨します。
npm list axiosもし、axiosのバージョンが1.14.x以下の場合はすぐに、「npm install axios@latest」を実行して、1.15.0以上のバージョンにアップデート後に本番環境に反映してください。
npm install axios@latest
