Katalog CVE

CVE-2026-27971

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Qwik to framework JavaScript skoncentrowany na wydajności. Wersje qwik do 1.19.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niebezpiecznej deserializacji w mechanizmie server$ RPC, co pozwala nieautoryzowanym użytkownikom na wykonanie dowolnego kodu na serwerze za pomocą jednego żądania HTTP.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając nieautoryzowanym użytkownikom zdalne wykonywanie kodu na serwerze, co może prowadzić do utraty danych lub przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację do wersji 1.19.1 lub nowszej, aby usunąć tę podatność oraz przegląd zabezpieczeń aplikacji, aby zminimalizować ryzyko wystąpienia podobnych problemów.

Oryginalny opis (angielski, źródło NVD)

Qwik is a performance focused javascript framework. qwik <=1.19.0 is vulnerable to RCE due to an unsafe deserialization vulnerability in the server$ RPC mechanism that allows any unauthenticated user to execute arbitrary code on the server with a single HTTP request. Affects any deployment where require() is available at runtime. This vulnerability is fixed in 1.19.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS