Qwik
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.13355
Распределение по критичности
Критический
3
Высокий
2
Средний
5
Низкий
1
Также сопоставлено как (исходные строки): qwik
Топ уязвимостей
CVE-2026-25150Qwik - это фреймворк, ориентированный на производительность. До версии 1.19.0 в промежуточной посуде @builder.io/qwik-city существует уязвимость прототипа в формеToObj(). Функциональные процессы формируют имена полей с обозначением точки (например, user.name) для создания вложенных объектов, но не могут санировать имена опасных свойств, такие как __proto__, конструктор и прототип. Это позволяет неаутентифицированным злоумышленникам загрязнять Object.prototype, отправляя созданные HTTP POST-запросы, что может привести к эскалации привилегий, обходу аутентификации или отказу в обслуживании. Этот вопрос был исправлен в версии 1.19.0.
CVE-2023-1283Внедрение кода в репозитории GitHub builderio/qwik до 0.21.0.
CVE-2026-27971Qwik - это фреймворк javascript, ориентированный на производительность. qwik <=1.19.0 уязвим для RCE из-за небезопасной уязвимости дезьериализации в механизме RPC сервера, которая позволяет любому неаутентичному пользователю выполнять произвольный код на сервере с помощью одного HTTP-запроса. Влияет на любое развертывание, если требуется() в момент выполнения. Эта уязвимость зафиксирована в разделе 1.19.1.
CVE-2026-32701Qwik - это фреймворк JavaScript, ориентированный на производительность. Версий до 1.19.2 неправильно выведенных массивов из точекловых названий полем формы во время разбора FormData. Отправляя смешанные идентификаторы массива и символ-свойства для одного и того же пути, злоумышленник может заставить контролируемые пользователем свойства писать на значения, которые код приложения ожидал, что будут массивами. При обработке запросов на применение/x-www-форму-урленкодированные или многочастные/форменные данные Qwik City преобразует пунктирные названия полей (например, пункты0, пункты) в вложенные структуры. Если путь был интерпретирован как массив, дополнительные ключи, поставляемые злоумышленником на этом пути, такие как items.toString, items.push, items.valueOf или items.length, могут неожиданно изменить полученное значение на стороне сервера, что потенциально может привести к сбоям обработки запроса, отказу в обслуживании через плохо сформированное состояние массива или негабаритную длину и ввести путаницу в коде вниз по течению. Эта проблема была исправлена в версии 1.19.2.
CVE-2026-25155Qwik - это фреймворк, ориентированный на производительность. До версии 1.12.0 опечатка в регулярном выражении внутри isContentTtype вызывает неправильный разбор некоторых заголовков Content-Type. Эта проблема была исправлена в версии 1.12.0.
CVE-2024-41677Qwik - это javascript-фреймворк, ориентированный на производительность. В Qwik существует потенциальная уязвимость мутации XSS для версий до 1.6.0, но не включая ее. Qwik неправильно экранирует HTML при рендеринге на стороне сервера. Он преобразует строки в соответствии с правилами, найденными в файле `render-ssr.ts`. Иногда это приводит к тому, что окончательное дерево DOM, отображаемое в браузерах, отличается от того, что Qwik ожидает при рендеринге на стороне сервера. Это можно использовать для выполнения XSS-атак, и тип XSS известен как mXSS (mutation XSS). Это было устранено в qwik версии 1.6.0 и @builder.io/qwik версии 1.7.3. Всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.
CVE-2026-25151Qwik - это фреймворк, ориентированный на производительность. До версии 1.19.0 обработчик запросов на стороне сервера Qwik City непоследовательно интерпретирует заголовки HTTP-запросов, которыми может злоупотреблять удаленный злоумышленник, чтобы обойти защиту от CSRF-представления формы с использованием специально созданных или многозначных заголовков Content-Type. Этот вопрос был исправлен в версии 1.19.0.
CVE-2026-25148Qwik - это фреймворк, ориентированный на производительность. До версии 1.19.0 уязвимость Cross-Site Scripting в серверной рендеринге Qwik.js на стороне сервера виртуальных атрибутов позволяет удаленному злоумышленнику вводить произвольные веб-скрипты в серверные страницы через виртуальные атрибуты. Успешная эксплуатация позволяет выполнять скрипты в браузере жертвы в контексте затронутого происхождения. Этот вопрос был исправлен в версии 1.19.0.
CVE-2007-2383Фреймворк Prototype (prototypejs) до версии 1.5.1 RC3 обменивается данными, используя нотацию объектов JavaScript (JSON) без связанной схемы защиты, что позволяет удаленным злоумышленникам получать данные через веб-страницу, которая извлекает данные через URL в атрибуте SRC элемента SCRIPT и захватывает данные с помощью другого кода JavaScript, также известного как "JavaScript Hijacking".
CVE-2008-7220Неуказанная уязвимость в Prototype JavaScript framework (prototypejs) до версии 1.6.0.2 позволяет злоумышленникам осуществлять "межсайтовые ajax-запросы" через неизвестные векторы.
CVE-2026-25149Qwik - это фреймворк, ориентированный на производительность. До версии 1.19.0 уязвимость Open Redirect в промежуточной программной помощи по запросу Qwik City позволяет удаленному злоумышленнику перенаправлять пользователей на произвольные URL-адреса, связанные с протоколом. Успешная эксплуатация позволяет злоумышленникам создавать убедительные фишинговые ссылки, которые, по-видимому, происходят из доверенного домена, но перенаправляют жертву на сайт, контролируемый злоумышленником. Этот вопрос был исправлен в версии 1.19.0.