关键漏洞信息 漏洞概述 标题: Crashing any Qwik Server 严重性: Critical (9.2/10) CVE ID: CVE-2025-53620 发布者: shairez 发布时间: 2天前 影响范围 受影响的包: @builder.io/qwik-city (npm) 受影响版本: < 1.13.0 修复版本: 1.13.0 漏洞描述 摘要: 可能构造一个请求,导致默认配置下的Qwik Server崩溃。 详细信息: 当执行无效的qfunc时,服务器无法正确处理抛出的错误,导致Node.js退出。 PoC (概念验证) 1. 创建Qwik项目: 2. 启动Qwik Server: 3. 执行以下curl命令: 影响 可用性: 高 后续系统影响: 高 描述: 使用简单循环发送HTTP请求会导致服务永久停机,因为实例需要几秒钟才能重启。恶意攻击者也可能利用此漏洞。 其他信息 CVSS v4.0指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 用户交互: 无 - 可用性影响: 高