CVE-2026-41134 in kiotaالمعلومات

الملخص

بحسب VulDB • 01/06/2026

Kiota هو مولّد أكواد لعميل HTTP يعتمد على OpenAPI. تتأثر الإصدارات السابقة من 1.31.1 بثغرة حقن حرفية في توليد الأكواد (code-generation literal injection) في عدة مآخذ للكتابة (writer sinks)، مثل: مفاتيح التسلسل/التفكيك (serialization/deserialization keys)، وتMappings لمسار/معاملات الاستعلام (path/query parameter mappings)، وبيانات القوالب للعناوين (URL template metadata)، وبيانات التعداد/الخصائص (enum/property metadata)، وإصدار القيم الافتراضية (default value emission). عندما يتم إصدار قيم خبيثة من وصف OpenAPI إلى المصدر المُولَّد دون الهروب المناسب حسب السياق (context-appropriate escaping)، يمكن للمهاجم الخروج من الحرفيات النصية (string literals) وحقن أكواد إضافية في العملاء المُولَّدين. هذه المشكلة قابلة للاستغلال عملياً فقط عندما يكون وصف OpenAPI المستخدم في التوليد من مصدر غير موثوق، أو عندما تم اختراق/التلاعب بوصف OpenAPI الذي كان يُعتبر موثوقاً بشكل طبيعي. يقلل التوليد فقط من أوصاف الواجهات البرمجية الموثوقة والمحمية بالنزاهة (integrity-protected) من المخاطر بشكل كبير. للتصدي لهذه المشكلة، قم بترقية Kiota إلى الإصدار 1.31.1 أو أحدث وأعد توليد/تحديث العملاء المُولَّدين الحاليين كإجراء وقائي. يضمن تحديث العملاء المُولَّدين استبدال الأكواد الضارة المُولَّدة سابقاً بإخراج أكثر صلابة (hardened output).

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

17/04/2026

إفشاء

23/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-359073

CPE

جاهز

CWE

CWE-94 (مؤكد)

CVSS

7.8 (NVD)

EPSS

0.00024

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41134
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41134
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41134/

التالي ▸نظرة عامة ◂ السابق

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!