CVE-2026-48819 in openapi-tsالمعلومات

الملخص

بحسب VulDB • 18/07/2026

تُعد Hey API نظامًا بيئيًا لتحويل مواصفات واجهات برمجة التطبيقات (API) إلى أكواد جاهزة للإنتاج. قبل الإصدار 0.97.3، كان الملف dist/clients/core/params.ts يتضمن قالب تشغيل يتم نسخه داخل مجموعات تطوير البرمجيات (SDKs) المُولَّدة باسم params.gen.ts، وكانت الدالة buildClientParams تكتب المفاتيح ذات البادئات غير المعروفة مثل $body_ و$headers_ و$path_ و$query_ مباشرةً إلى الخانات المقابلة لها. وهذا يسمح باستخدام المفتاح $query___proto__ جنبًا إلى جنب مع حقل q شرعي لضبط params.query عبر تعيين params["query"]["__proto__"] = value، واستدعاء Object.setPrototypeOf(params.query, value)، وكشف المفاتيح الموروثة التي يتحكم فيها المهاجم أثناء تكرار for..in. تم إصلاح هذه المشكلة في الإصدار 0.97.3.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

22/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379948

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!