Kerentanan pembajakan hak akses server cloud melalui injeksi header (CRLF) pada library Axios

Kerentanan ini adalah bug kritis yang dapat memungkinkan peretas mengambil alih hak administrator pada server cloud seperti AWS.

Rantai serangan (Chain): Serangan ini tidak terjadi hanya dengan Axios saja. Jika ada kerentanan lain (prototype pollution) pada library lain yang terpasang di proyek Anda, peretas dapat memanfaatkannya sebagai batu loncatan lalu menggunakan Axios seperti senjata (Gadget).

Injeksi header dan request smuggling: Jika peretas menyalahgunakan karakter pindah baris khusus (\r\n), mereka dapat diam-diam menyisipkan request berbahaya buatan mereka untuk dikirim bersama setelah kode request Axios aman yang ditulis pengembang. (Ini terjadi karena Axios tidak memfilter karakter pindah baris pada header dengan benar.)

Akibat yang fatal: Peretas dapat mengirim request tersembunyi ini ke jaringan internal cloud (layanan metadata AWS), melewati perlindungan cloud (IMDSv2), dan mencuri kunci autentikasi (kredensial IAM) yang memungkinkan kendali atas seluruh akun cloud.