CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-27971

Critical
Published: Translated: NVD NIST

Summary

Qwik to framework JavaScript skoncentrowany na wydajności. Wersje qwik do 1.19.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niebezpiecznej deserializacji w mechanizmie server$ RPC, co pozwala nieautoryzowanym użytkownikom na wykonanie dowolnego kodu na serwerze za pomocą jednego żądania HTTP.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając nieautoryzowanym użytkownikom zdalne wykonywanie kodu na serwerze, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Recommendation

Zaleca się aktualizację do wersji 1.19.1 lub nowszej, aby usunąć tę podatność oraz przegląd zabezpieczeń aplikacji, aby zminimalizować ryzyko wystąpienia podobnych problemów.

Original NVD description (English source)

Qwik is a performance focused javascript framework. qwik <=1.19.0 is vulnerable to RCE due to an unsafe deserialization vulnerability in the server$ RPC mechanism that allows any unauthenticated user to execute arbitrary code on the server with a single HTTP request. Affects any deployment where require() is available at runtime. This vulnerability is fixed in 1.19.1.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS