北京赛克艾威科技有限公司 2026-03-04
Qwik 是一个专注于性能的开源 JavaScript 框架。在其 server$ RPC 机制中存在不安全的反序列化漏洞。当运行时环境支持 require\(\) 函数时,攻击者可以通过发送特定的单次 HTTP 请求,利用该机制在反序列化过程中触发恶意代码执行,导致服务器失陷。
1. 升级至最新版本。 2. 利用安全组设置其仅对可信地址开放。
https://github.com/QwikDev/qwik/security/advisories/GHSA-p9x5-jp3h-96mm