一、 漏洞 CVE-2025-53620 基础信息
漏洞信息
# 崩溃任何Qwik服务器
## 概述
@builder.io/qwik-city 是 Qwik 的元框架。当执行 Qwik 服务器动作 QRL 时,它会动态加载包含符号的文件。如果发送无效的 qfunc,服务器无法处理抛出的错误,导致 Node.js 退出。
## 影响版本
1.13.0 之前的版本
## 细节
当执行 Qwik 服务器动作 QRL 时,服务器尝试动态加载包含符号的文件。如果发送的 qfunc 无效,服务器不能正确处理此错误,最终导致 Node.js 进程退出。
## 影响
该漏洞可能导致服务器进程意外终止,影响服务的可用性和稳定性。已在版本 1.13.0 中修复。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Crashing any Qwik Server
来源:美国国家漏洞数据库 NVD
漏洞描述信息
@builder.io/qwik-city is the meta-framework for Qwik. When a Qwik Server Action QRL is executed it dynamically load the file containing the symbol. When an invalid qfunc is sent, the server does not handle the thrown error. The error then causes Node JS to exit. This vulnerability is fixed in 1.13.0.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
未捕获的异常
来源:美国国家漏洞数据库 NVD
漏洞标题
Qwik 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Qwik是Qwik Dev开源的一款微型Web框架。 Qwik 1.13.0之前版本存在安全漏洞,该漏洞源于未处理无效qfunc错误,可能导致服务崩溃。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-53620 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-53620 的情报信息
-
标题: Crashing any Qwik Server · Advisory · QwikDev/qwik · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-53620