CRITICAL🇬🇧 English

CVE-2025-53620

Nieobsłużony wyjątek w Qwik City powoduje crash procesu Node.js

CVSS 9.2v4.0pub. 2025-07-09upd. 2026-04-15

Podatność w pakiecie @builder.io/qwik-city pozwala nieuwierzytelnionemu atakującemu spowodować natychmiastowe zakończenie procesu Node.js poprzez wysłanie nieprawidłowego żądania do Server Action QRL. Jest to krytyczna luka typu Denial of Service (DoS) dostępna zdalnie bez żadnej autoryzacji.

Pokaż oryginał (EN)

@builder.io/qwik-city is the meta-framework for Qwik. When a Qwik Server Action QRL is executed it dynamically load the file containing the symbol. When an invalid qfunc is sent, the server does not handle the thrown error. The error then causes Node JS to exit. This vulnerability is fixed in 1.13.0.

🤖 Analiza AI
Jak działa

Gdy serwer Qwik City odbiera żądanie wykonania Server Action QRL, dynamicznie ładuje plik zawierający odpowiedni symbol (qfunc). Jeśli atakujący prześle nieprawidłową wartość qfunc, serwer rzuca wyjątek, który nie jest nigdzie przechwytywany ani obsługiwany. Nieobsłużony wyjątek (CWE-248: Uncaught Exception) powoduje, że środowisko uruchomieniowe Node.js całkowicie kończy swój proces, co skutkuje niedostępnością aplikacji.

Skutki

Atakujący może zdalnie i bez uwierzytelnienia doprowadzić do natychmiastowego zatrzymania procesu Node.js obsługującego aplikację, powodując pełną niedostępność serwisu (DoS). W środowiskach bez mechanizmu automatycznego restartu procesów skutkuje to trwałą awarią usługi.

Mitygacja

Należy zaktualizować pakiet @builder.io/qwik-city do wersji 1.13.0 lub nowszej, w której błąd został naprawiony. Szczegóły dostępne w referencjach producenta na GitHub Security Advisories.

Kogo dotyczy

Pakiet @builder.io/qwik-city we wszystkich wersjach przed 1.13.0.

Uwagi

Podatność została naprawiona w wersji 1.13.0 pakietu @builder.io/qwik-city, co zostało potwierdzone w oficjalnym security advisory projektu Qwik na platformie GitHub.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje