Skip to content

[공통] axios 버전 업데이트#1229

Merged
ff1451 merged 2 commits into
developfrom
chore/#1228/axios-version-up
Apr 15, 2026
Merged

[공통] axios 버전 업데이트#1229
ff1451 merged 2 commits into
developfrom
chore/#1228/axios-version-up

Conversation

@ff1451

@ff1451 ff1451 commented Apr 14, 2026

Copy link
Copy Markdown
Contributor

What is this PR? 🔍

Changes 📝

보안 취약점 대응하여 axios 버전 업데이트 진행

Precaution

실제로는 node.js의 런타임에서 잘못된 헤더 삽입을 차단하기 때문에 악용될 가능성이 낮다고 합니다

보안 취약점 내용

  1. 애플리케이션의 의존성 트리 어딘가에 Prototype Pollution 취약점이 존재
  2. 공격자가 Object.prototype에 악성 속성을 주입 (예: proto.env 등)
  3. Axios가 config를 Object.assign() 등으로 병합할 때 오염된 속성이 HTTP 요청에 반영
  4. CRLF (\r\n) 문자가 sanitize되지 않아 Request Smuggling 페이로드로 변환

AWS IMDSv2 세션 토큰 보호를 우회하여 클라우드 메타데이터 탈취가 가능하고, Cookie/Authorization 헤더 주입으로 내부 관리 패널 접근, Host 헤더 주입으로 캐시 포이즈닝까지 가능


추가로 RSC 취약점 대응하여 React, Next 버전도 함께 올렸습니다.

✔️ Please check if the PR fulfills these requirements

  • It's submitted to the correct branch, not the develop branch unconditionally?
  • If on a hotfix branch, ensure it targets main?
  • There are no warning message when you run yarn lint

Summary by CodeRabbit

릴리스 노트

  • Chores
    • HTTP 클라이언트 라이브러리를 업그레이드했습니다. (axios ^0.27.2 → ^0.31.0)
    • 의존성 패키지 순서를 정렬했습니다.

@ff1451 ff1451 self-assigned this Apr 14, 2026
@ff1451 ff1451 added the ⚙ Setting 개발 환경 세팅 label Apr 14, 2026
@coderabbitai

coderabbitai Bot commented Apr 14, 2026

Copy link
Copy Markdown

Walkthrough

package.json에서 보안 취약점 대응을 위해 axios 버전을 0.27.2에서 0.31.0으로 업그레이드하고 @tanstack/react-query의 순서를 변경했습니다. 다른 의존성 및 스크립트 항목은 변경되지 않았습니다.

Changes

Cohort / File(s) Summary
의존성 업데이트
package.json
axios 버전을 ^0.27.2에서 ^0.31.0으로 업그레이드하여 보안 취약점(CVE-2026-40175) 대응. @tanstack/react-query 의존성의 순서만 변경.

Estimated code review effort

🎯 1 (Trivial) | ⏱️ ~3 minutes

Suggested reviewers

  • dooohun
  • ParkSungju01
🚥 Pre-merge checks | ✅ 5
✅ Passed checks (5 passed)
Check name Status Explanation
Title check ✅ Passed PR 제목 '[공통] axios 버전 업데이트'는 변경 사항의 주요 내용인 axios 버전 업그레이드를 명확하게 설명하고 있습니다.
Linked Issues check ✅ Passed PR에서 axios를 0.27.2에서 0.31.0으로 업그레이드하여 CVE-2026-40175 보안 취약점 대응 요구사항을 충족했습니다.
Out of Scope Changes check ✅ Passed 모든 변경 사항이 axios 버전 업데이트라는 범위 내에 있으며, @tanstack/react-query의 순서 변경만 있고 기능적 변경은 없습니다.
Docstring Coverage ✅ Passed No functions found in the changed files to evaluate docstring coverage. Skipping docstring coverage check.
Description Check ✅ Passed Check skipped - CodeRabbit’s high-level summary is enabled.

✏️ Tip: You can configure your own custom pre-merge checks in the settings.

✨ Finishing Touches
📝 Generate docstrings
  • Create stacked PR
  • Commit on current branch
🧪 Generate unit tests (beta)
  • Create PR with unit tests
  • Commit unit tests in branch chore/#1228/axios-version-up

Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out.

❤️ Share

Comment @coderabbitai help to get the list of available commands and usage tips.

@kongwoojin kongwoojin left a comment

Copy link
Copy Markdown
Member

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

또 axios

@dh2906 dh2906 left a comment

Copy link
Copy Markdown

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

고생하셨습니다!

@ff1451 ff1451 merged commit 9768715 into develop Apr 15, 2026
3 checks passed
@github-actions github-actions Bot deleted the chore/#1228/axios-version-up branch April 15, 2026 02:31
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

⚙ Setting 개발 환경 세팅

Projects

None yet

Development

Successfully merging this pull request may close these issues.

[공통] Axios 보안 취약점 대응 버전 업데이트

3 participants