Die Schwachstelle betrifft Axios, einen weit verbreiteten HTTP-Client auf Promise-Basis, der sowohl im Browser als auch in Node.js eingesetzt wird, um ausgehende HTTP-Anfragen zu stellen. Der Defekt ist eine sogenannte Gadget-Kette: Eine Prototype-Pollution-Schwäche in einer eingebundenen Drittanbieter-Abhängigkeit lässt sich dazu missbrauchen, die internen Objektstrukturen zu manipulieren. Über diesen Umweg kann ein Angreifer ungeprüfte Header-Werte in die von Axios verschickten Anfragen einschleusen, weil diese Werte vor dem Versand nicht ausreichend bereinigt werden. Im Ergebnis gelangen vom Angreifer kontrollierte Inhalte in die ausgehenden HTTP-Header, was abhängig vom Einsatzszenario weitere Angriffe gegen die Zielsysteme oder die verarbeitende Anwendung ermöglichen kann. Betroffen sind Anwendungen, die Axios zusammen mit der verwundbaren Abhängigkeit verwenden, sodass die für die Prototype Pollution nötigen Voraussetzungen erfüllt sind. Da Axios eine sehr gebräuchliche Bibliothek im JavaScript-Umfeld ist, kann der Fehler eine große Zahl von Web- und Server-Anwendungen betreffen.