CVE-2026-25148— Qwik 跨站脚本漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-25148の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Qwik SSR XSS via Unsafe Virtual Node Serialization
ソース: NVD (National Vulnerability Database)
脆弱性説明
Qwik is a performance focused javascript framework. Prior to version 1.19.0, a Cross-Site Scripting vulnerability in Qwik.js' server-side rendering virtual attribute serialization allows a remote attacker to inject arbitrary web scripts into server-rendered pages via virtual attributes. Successful exploitation permits script execution in a victim's browser in the context of the affected origin. This issue has been patched in version 1.19.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Qwik 跨站脚本漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Qwik是Qwik Dev开源的一款微型Web框架。 Qwik 1.19.0之前版本存在跨站脚本漏洞,该漏洞源于服务器端渲染虚拟属性序列化存在跨站脚本漏洞,可能导致远程攻击者注入任意Web脚本。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-25148の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-25148のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · QwikDev · 2026-02-03 · 5 CVEs total
| CVE-2026-25150 | 9.3 CRITICAL | Prototype Pollution via FormData Processing in Qwik City |
| CVE-2026-25151 | 5.9 MEDIUM | Qwik City has a CSRF Protection Bypass via Content-Type Header Validation |
| CVE-2026-25155 | 5.9 MEDIUM | [qwik-city] CSRF protection middleware does not work properly for content type header with |
| CVE-2026-25149 | Qwik City Open Redirect via fixTrailingSlash |
IV. 関連脆弱性
同じ製品: qwik
- CVE-2026-32701
Qwik has array method pollution in FormData processing, allo - CVE-2026-27971
Qwik affected by unauthenticated RCE via server$ Deserializa - CVE-2026-25150
Prototype Pollution via FormData Processing in Qwik City - CVE-2026-25151
Qwik City has a CSRF Protection Bypass via Content-Type Head - CVE-2026-25155
[qwik-city] CSRF protection middleware does not work properl
同じベンダー: QwikDev
- CVE-2026-32701
Qwik has array method pollution in FormData processing, allo - CVE-2026-27971
Qwik affected by unauthenticated RCE via server$ Deserializa - CVE-2026-25150
Prototype Pollution via FormData Processing in Qwik City - CVE-2026-25151
Qwik City has a CSRF Protection Bypass via Content-Type Head - CVE-2026-25155
[qwik-city] CSRF protection middleware does not work properl
同じ弱点: CWE-79
- CVE-2026-8262
Devs Palace ERP Online chart-save cross site scripting - CVE-2026-8256
Devs Palace ERP Online mr-save cross site scripting - CVE-2026-8255
Devs Palace ERP Online add_new_customer cross site scripting - CVE-2026-8254
Devs Palace ERP Online sales_save cross site scripting - CVE-2026-8253
Devs Palace ERP Online purchase_save cross site scripting
V. CVE-2026-25148へのコメント
まだコメントはありません