Die Schwachstelle betrifft Axios, einen weit verbreiteten HTTP-Client für den Browser und für Node.js, mit dem Anwendungen ausgehende Web-Anfragen stellen. Der Fehler steckt im HTTP-Adapter: Mehrere Konfigurationseigenschaften – darunter Zugangsdaten, die Basis-Adresse, der Socket-Pfad und ein Umleitungs-Callback – werden über direkten Eigenschaftszugriff ausgelesen, ohne zu prüfen, ob der Wert tatsächlich aus der eigenen Konfiguration stammt. Dadurch eignen sich diese Eigenschaften als sogenannte Prototype-Pollution-Gadgets. Wird das gemeinsame Basisobjekt von JavaScript (Object.prototype) an anderer Stelle im selben Prozess – etwa durch eine andere Programmbibliothek – manipuliert, übernimmt Axios diese untergeschobenen Werte unbemerkt bei jeder ausgehenden HTTP-Anfrage. Ein Angreifer, der eine solche Verunreinigung herbeiführen kann, beeinflusst damit das Verhalten der Anfragen: Er kann beispielsweise eingeschleuste Zugangsdaten oder eine veränderte Zieladresse erzwingen. Betroffen sind Anwendungen, die diese Axios-Version einsetzen und in deren Prozess eine Prototype Pollution möglich ist.