CVE-2026-27971
KrytyczneStreszczenie
Qwik to framework JavaScript skoncentrowany na wydajności. Wersje qwik do 1.19.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niebezpiecznej deserializacji w mechanizmie server$ RPC, co pozwala nieautoryzowanym użytkownikom na wykonanie dowolnego kodu na serwerze za pomocą jednego żądania HTTP.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając nieautoryzowanym użytkownikom zdalne wykonywanie kodu na serwerze, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację do wersji 1.19.1 lub nowszej, aby usunąć tę podatność oraz przegląd zabezpieczeń aplikacji, aby zminimalizować ryzyko wystąpienia podobnych problemów.
Oryginalny opis (angielski, źródło NVD)
Qwik is a performance focused javascript framework. qwik <=1.19.0 is vulnerable to RCE due to an unsafe deserialization vulnerability in the server$ RPC mechanism that allows any unauthenticated user to execute arbitrary code on the server with a single HTTP request. Affects any deployment where require() is available at runtime. This vulnerability is fixed in 1.19.1.

