Vulnerabilidad en Qwik de QwikDevde QwikDev (CVE-2026-25149)

Gravedad CVSS v4.0:

BAJA

Tipo:

CWE-601 Redireccionamiento de URL a sitio no confiable (Open Redirect)

Fecha de publicación:

03/02/2026

Última modificación:

10/02/2026

Descripción

Qwik es un framework JavaScript centrado en el rendimiento. Antes de la versión 1.19.0, una vulnerabilidad de redirección abierta en el middleware de controlador de solicitudes predeterminado de Qwik City permite a un atacante remoto redirigir a los usuarios a URLs relativas al protocolo arbitrarias. La explotación exitosa permite a los atacantes crear enlaces de phishing convincentes que parecen originarse del dominio de confianza pero redirigen a la víctima a un sitio controlado por el atacante. Este problema ha sido parcheado en la versión 1.19.0.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:L/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.70 BAJA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:L/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Bajo
Exploit Maturity (E): Unreported

Puntuación base 4.0

2.70

Gravedad 4.0

BAJA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno