Qwik in version < 0.21.0 provides an extended serialization mechanism for exchanging data between the client and server. Through a specially crafted request on the endpoint /q-data.json, an unauthenticated attacker is able to inject code and execute arbitrary commands

バージョン < 0.21.0 の Qwik は、クライアントとサーバーの間でデータを交換するための拡張シリアル化メカニズムを提供します。エンドポイント /q-data.json で特別に細工されたリクエストを介して、認証されていない攻撃者がコードを注入し、任意のコマンドを実行する可能性があります。

Qwik 0.21.0 之前版本會提供用於用戶端和伺服器之間資料交換的延伸序列化機制。未經驗證的攻擊者可透過 /q-data.json 端點上的特製要求，來插入程式碼並執行任意命令

< 0.21.0 版的 Qwik 可提供扩展的序列化机制，用于在客户端与服务器之间交换数据。通过端点 /q-data.json 上特制的请求，未经身份验证的攻击者能够注入代码和执行任意命令

ID	名稱	產品	系列	已發布	已更新	嚴重性
113830	Qwik < 0.21.0 Code Injection	Web App Scanning	Component Vulnerability	2023/3/28	2023/3/28	critical
113830	Qwik < 0.21.0 コードインジェクション	Web App Scanning	Component Vulnerability	2023/3/28	2023/3/28	critical
113830	Qwik < 0.21.0 程式碼插入	Web App Scanning	Component Vulnerability	2023/3/28	2023/3/28	critical
113830	Qwik < 0.21.0 代码注入	Web App Scanning	Component Vulnerability	2023/3/28	2023/3/28	critical

偵測

搜尋 Plugin

critical

critical

critical

critical