Qwik — это платформа JavaScript, ориентированная на производительность. До версии 1.19.0 серверный обработчик запросов Qwik City непоследовательно интерпретировал заголовки HTTP-запросов, которые могли быть использованы удаленным злоумышленником для обхода защиты CSRF при отправке формы с использованием специально созданных или многозначных заголовков Content-Type. Эта проблема исправлена в версии 1.19.0.
Показать оригинальное описание (английский)
Qwik is a performance focused javascript framework. Prior to version 1.19.0, Qwik City’s server-side request handler inconsistently interprets HTTP request headers, which can be abused by a remote attacker to circumvent form submission CSRF protections using specially crafted or multi-valued Content-Type headers. This issue has been patched in version 1.19.0.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:N