CVE-2024-41677 in qwikالمعلومات

الملخص

بحسب VulDB • 03/06/2026

Qwik هو إطار عمل جافا سكريبت يركز على الأداء. توجد ثغرة محتملة من نوع XSS ناتجة عن التحول (Mutation XSS) في Qwik للإصدارات الأقدم من 1.6.0 ولا تشملها. يقوم Qwik بتجنب تهريب HTML بشكل غير صحيح أثناء التقديم الجانبي للسيرفر (Server-Side Rendering). يحول السلاسل النصية وفقاً للقواعد الموجودة في ملف `render-ssr.ts`. يؤدي هذا أحياناً إلى حالة تكون فيها شجرة DOM النهائية المعروضة على المتصفحات مختلفة عما يتوقعه Qwik عند التقديم الجانبي للسيرفر. يمكن استغلال ذلك لتنفيذ هجمات XSS، ونوع من أنواع XSS معروف باسم mXSS (Mutation XSS). تم حل هذه المشكلة في إصدار qwik 1.6.0 وإصدار @builder.io/qwik 1.7.3. يُنصح جميع المستخدمين بالترقية إلى الإصدارات الجديدة. لا توجد حلول بديلة معروفة لهذه الثغرة.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

18/07/2024

إفشاء

06/08/2024

الاعتدال

تمت الموافقة

إدخال

VDB-273780

EPSS

0.00469

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!