CVE-2026-32701

Qwik es un framework de JavaScript centrado en el rendimiento. Las versiones anteriores a la 1.19.2 inferían incorrectamente arrays a partir de nombres de campos de formulario con puntos durante el análisis de FormData. Al enviar claves de índice de array y de propiedad de objeto mezcladas para la misma ruta, un atacante podría hacer que las propiedades controladas por el usuario se escribieran sobre valores que el código de la aplicación esperaba que fueran arrays. Al procesar solicitudes application/x-www-form-urlencoded o multipart/form-data, Qwik City convertía los nombres de campo con puntos (p. ej., items.0, items.1) en estructuras anidadas. Si una ruta se interpretaba como un array, claves adicionales proporcionadas por el atacante en esa ruta —como items.toString, items.push, items.valueOf o items.length— podrían alterar el valor resultante del lado del servidor de formas inesperadas, lo que podría llevar a fallos en el manejo de solicitudes, denegación de servicio a través de un estado de array malformado o longitudes excesivas, y confusión de tipos en el código subsiguiente. Este problema se solucionó en la versión 1.19.2.