Axios लाइब्रेरी के हेडर इंजेक्शन (CRLF) का दुरुपयोग कर क्लाउड सर्वर की अनुमतियाँ हथियाने वाली भेद्यता

यह भेद्यता एक गंभीर बग है जो हैकरों को AWS जैसे क्लाउड सर्वरों पर administrator permissions छीनने में सक्षम बनाती है.

हमले की श्रृंखला (Chain): यह हमला केवल Axios से नहीं होता. यदि आपके प्रोजेक्ट में इंस्टॉल की गई किसी दूसरी लाइब्रेरी में भेद्यता (prototype pollution) है, तो हैकर उसे एक stepping stone की तरह इस्तेमाल कर Axios को एक हथियार (Gadget) की तरह उपयोग कर सकते हैं.

हेडर इंजेक्शन और request smuggling: यदि हैकर खास newline characters (\r\n) का दुरुपयोग करें, तो वे डेवलपर द्वारा लिखे गए सुरक्षित Axios request code के बाद अपने बनाए malicious requests को चुपके से छिपाकर साथ भेज सकते हैं. (ऐसा इसलिए होता है क्योंकि Axios headers में newline characters को ठीक से filter नहीं करता.)

घातक परिणाम: हैकर इस छिपे हुए request को क्लाउड के internal network (AWS metadata service) की ओर भेजकर क्लाउड सुरक्षा तंत्र (IMDSv2) को bypass कर सकते हैं, और ऐसे authentication keys (IAM credentials) चुरा सकते हैं जिनसे पूरे क्लाउड अकाउंट पर नियंत्रण पाया जा सकता है.