CVE-2026-32701 in qwik
要約
〜によって VulDB • 2026年06月05日
Qwikはパフォーマンスを重視したJavaScriptフレームワークです。バージョン1.19.2以前のQwikでは、FormData解析時にドット区切りのフォームフィールド名から配列を誤って推論していました。同じパスに対して混合された配列インデックスとオブジェクトプロパティキーを送信することで、攻撃者はユーザー制御可能なプロパティが、アプリケーションコードが配列であると想定していた値に書き込まれる原因となります。application/x-www-form-urlencodedまたはmultipart/form-dataリクエストの処理時に、Qwik Cityはドット区切りのフィールド名(例:items.0、items.1)をネストされた構造に変換していました。パスが配列として解釈された場合、そのパス上の追加の攻撃者提供キー(例:items.toString、items.push、items.valueOf、items.length)により、結果として得られるサーバー側の値が予期せぬ方法で変更される可能性があり、リクエスト処理の失敗、不正な配列状態や過大な長さによるサービス拒否(DoS)、下流コードにおけるタイプ混乱を招く可能性があります。この問題はバージョン1.19.2で修正されました。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.