CVE-2024-41677

Qwik is a performance focused javascript framework. A potential mutation XSS vulnerability exists in Qwik for versions up to but not including 1.6.0. Qwik improperly escapes HTML on server-side rendering. It converts strings according to the rules found in the `render-ssr.ts` file. It sometimes causes the situation that the final DOM tree rendered on browsers is different from what Qwik expects on server-side rendering. This may be leveraged to perform XSS attacks, and a type of the XSS is known as mXSS (mutation XSS). This has been resolved in qwik version 1.6.0 and @builder.io/qwik version 1.7.3. All users are advised to upgrade. There are no known workarounds for this vulnerability.
Configurations

Configuration 1 (hide)

cpe:2.3:a:qwik:qwik:*:*:*:*:*:node.js:*:*

History

12 Aug 2024, 18:51

Type Values Removed Values Added
CPE cpe:2.3:a:qwik:qwik:*:*:*:*:*:node.js:*:*
First Time Qwik
Qwik qwik
CVSS v2 : unknown
v3 : 6.3
v2 : unknown
v3 : 6.1
References () https://github.com/QwikDev/qwik/blob/v1.5.5/packages/qwik/src/core/render/ssr/render-ssr.ts#L1182-L1208 - () https://github.com/QwikDev/qwik/blob/v1.5.5/packages/qwik/src/core/render/ssr/render-ssr.ts#L1182-L1208 - Product
References () https://github.com/QwikDev/qwik/commit/7e742eb3a1001542d795776c0317d47df8b9d64e - () https://github.com/QwikDev/qwik/commit/7e742eb3a1001542d795776c0317d47df8b9d64e - Patch
References () https://github.com/QwikDev/qwik/security/advisories/GHSA-2rwj-7xq8-4gx4 - () https://github.com/QwikDev/qwik/security/advisories/GHSA-2rwj-7xq8-4gx4 - Exploit, Vendor Advisory

07 Aug 2024, 15:17

Type Values Removed Values Added
Summary
  • (es) Qwik es un framework de JavaScript centrado en el rendimiento. Existe una vulnerabilidad XSS de mutación potencial en Qwik para versiones hasta la 1.6.0, pero no incluida. Qwik escapa incorrectamente de HTML en la representación del lado del servidor. Convierte cadenas de acuerdo con las reglas que se encuentran en el archivo `render-ssr.ts`. A veces causa la situación en la que el árbol DOM final renderizado en los navegadores es diferente de lo que Qwik espera en el renderizado del lado del servidor. Esto se puede aprovechar para realizar ataques XSS, y un tipo de XSS se conoce como mXSS (mutación XSS). Esto se resolvió en qwik versión 1.6.0 y @builder.io/qwik versión 1.7.3. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

06 Aug 2024, 18:15

Type Values Removed Values Added
New CVE

Information

Published : 2024-08-06 18:15

Updated : 2024-08-12 18:51


NVD link : CVE-2024-41677

Mitre link : CVE-2024-41677

CVE.ORG link : CVE-2024-41677


JSON object : View

Products Affected

qwik

  • qwik
CWE
CWE-79

Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')