概要
Qwik 1.19.0 以前の server$ RPCメカニズムに、安全でないデシリアライゼーションの脆弱性が存在します。未認証の攻撃者が単一のHTTPリクエストを送信するだけで、サーバー上で任意のコードを実行できます。
Qwikでサーバーサイドレンダリングを利用し、server$ 関数を使ったRPC呼び出しを行っているプロジェクトは影響を受けます。本番環境でQwikを使用している場合は、速やかなアップデートを推奨します。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.8 |
| 深刻度 | Critical |
| CWE | CWE-502 (安全でないデシリアライゼーション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Qwik | QwikDev | 1.19.0 以前 |
修正バージョンと回避策
- 修正バージョン: Qwik の最新バージョンへのアップデート
- 暫定回避策:
server$を利用しているエンドポイントへのアクセスをWAF等で制限
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。