anonhaven

CVE-2026-25151

MEDIUM CVSS 3.1: 5,9 EPSS 0.01%
Обновлено 4 февраля 2026
Qwik
Параметр Значение
CVSS 5,9 (MEDIUM)
Устранено в версии 1.19.0
Тип уязвимости CWE-352 (Подделка межсайтовых запросов (CSRF))
Поставщик Qwik
Публичный эксплойт Нет

Qwik — это платформа JavaScript, ориентированная на производительность. До версии 1.19.0 серверный обработчик запросов Qwik City непоследовательно интерпретировал заголовки HTTP-запросов, которые могли быть использованы удаленным злоумышленником для обхода защиты CSRF при отправке формы с использованием специально созданных или многозначных заголовков Content-Type. Эта проблема исправлена ​​в версии 1.19.0.

Показать оригинальное описание (EN)

Qwik is a performance focused javascript framework. Prior to version 1.19.0, Qwik City’s server-side request handler inconsistently interprets HTTP request headers, which can be abused by a remote attacker to circumvent form submission CSRF protections using specially crafted or multi-valued Content-Type headers. This issue has been patched in version 1.19.0.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-352 Cross-Site Request Forgery (CSRF) (Подделка межсайтовых запросов (CSRF))

Ссылки 2

https://github.com/QwikDev/qwik/commit/eebf610e04cc3a690f11e10191d09ff0fca1c7ed
security-advisories@github.com
https://github.com/QwikDev/qwik/security/advisories/GHSA-r666-8gjf-4v5f
security-advisories@github.com
Share Post Share Share Share