Qwik — это платформа JavaScript, ориентированная на производительность. qwik <=1.19.0 уязвим для RCE из-за небезопасной уязвимости десериализации в механизме server$ RPC, которая позволяет любому неаутентифицированному пользователю выполнять произвольный код на сервере с помощью одного HTTP-запроса. Влияет на любое развертывание, в котором метод require() доступен во время выполнения. Эта уязвимость исправлена в версии 1.19.1.
Показать оригинальное описание (EN)
Qwik is a performance focused javascript framework. qwik <=1.19.0 is vulnerable to RCE due to an unsafe deserialization vulnerability in the server$ RPC mechanism that allows any unauthenticated user to execute arbitrary code on the server with a single HTTP request. Affects any deployment where require() is available at runtime. This vulnerability is fixed in 1.19.1.
Характеристики атаки
Последствия
Строка CVSS v4.0