# Axios 라이브러리의 헤더 주입(CRLF)을 악용한 클라우드 서버 권한 탈취 취약점

> Clean Markdown view of GeekNews topic #28503. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=28503](https://news.hada.io/topic?id=28503)
- GeekNews Markdown: [https://news.hada.io/topic/28503.md](https://news.hada.io/topic/28503.md)
- Type: news
- Author: [dowha](https://news.hada.io/@dowha)
- Published: 2026-04-14T09:50:42+09:00
- Updated: 2026-04-14T09:50:42+09:00
- Original source: [github.com/axios](https://github.com/axios/axios/security/advisories/GHSA-fvcv-3m26-pcqx)
- Points: 7
- Comments: 2

## Topic Body

이 취약점은 해커가 AWS 같은 클라우드 서버의 관리자 권한을 탈취할 수 있게 만드는 치명적인 버그입니다.  
  
공격의 연쇄 작용 (Chain): 이 공격은 Axios 단독으로 발생하지 않습니다. 여러분의 프로젝트에 설치된 **다른 라이브러리에 취약점(프로토타입 오염)** 이 있을 경우, 해커가 이를 징검다리 삼아 Axios를 무기(Gadget)처럼 활용합니다.  
  
헤더 주입 및 요청 밀반입 (Request Smuggling): 해커가 특수한 줄바꿈 문자(\r\n)를 악용하면, 개발자가 작성한 안전한 Axios 요청 코드 뒤에 해커가 만든 악성 요청을 몰래 숨겨서 같이 보낼 수 있습니다. (Axios가 헤더의 줄바꿈 문자를 제대로 필터링하지 않아서 발생합니다.)  
  
치명적인 결과: 해커는 이 숨겨진 요청을 클라우드 내부망(AWS 메타데이터 서비스)으로 보내 클라우드 보안 장치(IMDSv2)를 우회하고, 클라우드 계정 전체를 통제할 수 있는 인증키(IAM 자격 증명)를 훔쳐낼 수 있습니다.

## Comments



### Comment 55322

- Author: preserde
- Created: 2026-04-14T19:16:05+09:00
- Points: 1

한동안 업데이트없이 안정적으로 운영되던 axios가 몇번째 업데이트를 하는지 모르겠네요... 그 lodash도 업데이트를 했었고...

### Comment 55267

- Author: dowha
- Created: 2026-04-14T10:46:50+09:00
- Points: 1

*Severity: Critical (CVSS 9.9)  
**Affected Versions: All versions (v0.x - v1.x)