CVE-2026-32701

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-32701
Qwik is a performance-focused JavaScript framework. Versions prior to 1.19.2 improperly inferred arrays from dotted form field names during FormData parsing. By submitting mixed array-index and object-property keys for the same path, an attacker could cause user-controlled properties to be written onto values that application code expected to be arrays. When processing application/x-www-form-urlencoded or multipart/form-data requests, Qwik City converted dotted field names (e.g., items.0, items.1) into nested structures. If a path was interpreted as an array, additional attacker-supplied keys on that path—such as items.toString, items.push, items.valueOf, or items.length—could alter the resulting server-side value in unexpected ways, potentially leading to request handling failures, denial of service through malformed array state or oversized lengths, and type confusion in downstream code. This issue was fixed in version 1.19.2.

7.5 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/QwikDev/qwik/commit/7b5867c3dd8925df9aa96c4296b1e95a4c2af87d Patch
https://github.com/QwikDev/qwik/security/advisories/GHSA-whhv-gg5v-864r Mitigation Vendor Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:qwik:qwik:*:*:*:*:*:node.js:*:*
History

23 Mar 2026, 15:30

Type Values Removed Values Added
Summary
  • (es) Qwik es un framework de JavaScript centrado en el rendimiento. Las versiones anteriores a la 1.19.2 inferían incorrectamente arrays a partir de nombres de campos de formulario con puntos durante el análisis de FormData. Al enviar claves de índice de array y de propiedad de objeto mezcladas para la misma ruta, un atacante podría hacer que las propiedades controladas por el usuario se escribieran sobre valores que el código de la aplicación esperaba que fueran arrays. Al procesar solicitudes application/x-www-form-urlencoded o multipart/form-data, Qwik City convertía los nombres de campo con puntos (p. ej., items.0, items.1) en estructuras anidadas. Si una ruta se interpretaba como un array, claves adicionales proporcionadas por el atacante en esa ruta —como items.toString, items.push, items.valueOf o items.length— podrían alterar el valor resultante del lado del servidor de formas inesperadas, lo que podría llevar a fallos en el manejo de solicitudes, denegación de servicio a través de un estado de array malformado o longitudes excesivas, y confusión de tipos en el código subsiguiente. Este problema se solucionó en la versión 1.19.2.
CPE cpe:2.3:a:qwik:qwik:*:*:*:*:*:node.js:*:*
References () https://github.com/QwikDev/qwik/commit/7b5867c3dd8925df9aa96c4296b1e95a4c2af87d - () https://github.com/QwikDev/qwik/commit/7b5867c3dd8925df9aa96c4296b1e95a4c2af87d - Patch
References () https://github.com/QwikDev/qwik/security/advisories/GHSA-whhv-gg5v-864r - () https://github.com/QwikDev/qwik/security/advisories/GHSA-whhv-gg5v-864r - Mitigation, Vendor Advisory
First Time Qwik qwik
Qwik

20 Mar 2026, 09:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-20 09:16

Updated : 2026-03-23 15:30

NVD link : CVE-2026-32701

Mitre link : CVE-2026-32701

CVE.ORG link : CVE-2026-32701

JSON object : View

Products Affected

qwik

  • qwik
CWE
CWE-843

Access of Resource Using Incompatible Type ('Type Confusion')

CWE-1321

Improperly Controlled Modification of Object Prototype Attributes ('Prototype Pollution')