Selon un avis de sécurité GitHub (dépôt QwikDev/qwik) publié le 2 mars 2026, le package npm @builder.io/qwik est affecté par une faille critique permettant une exécution de code à distance non authentifiée.
• Nature de la vulnérabilité : désérialisation de données non fiables (CWE-502) au sein du mécanisme RPC server$, ouvrant la voie à l’exécution de code arbitraire sur le serveur via une seule requête HTTP. L’impact sur le système vulnérable est évalué élevé en confidentialité, intégrité et disponibilité.
• Produits/versions : @builder.io/qwik ≤ 1.19.0 sont affectées. Version corrigée : 1.19.1. Identifiant : CVE-2026-27971. Score de sévérité : Critique (9.2), CVSS v4.0 vecteur: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N.
• Conditions et exploitabilité : l’attaque est réalisable à distance (réseau), avec faible complexité, sans privilèges requis et sans interaction utilisateur. Elle affecte tout déploiement où require() est disponible à l’exécution.
• IOCs et TTPs :
- IOCs : non indiqués dans l’avis.
- TTPs : exploitation du RPC server$ via désérialisation non sécurisée; requête HTTP unique; exécution de code côté serveur lorsque require() est accessible.
Crédits : reporter — sebastianosrt. Type d’article : avis de sécurité / rapport de vulnérabilité visant à informer de la faille et de la version corrigée.
🔗 Source originale : https://github.com/QwikDev/qwik/security/advisories/GHSA-p9x5-jp3h-96mm