CVE-2026-48819 in openapi-ts
الملخص
بحسب VulDB • 18/07/2026
تُعد Hey API نظامًا بيئيًا لتحويل مواصفات واجهات برمجة التطبيقات (API) إلى أكواد جاهزة للإنتاج. قبل الإصدار 0.97.3، كان الملف dist/clients/core/params.ts يتضمن قالب تشغيل يتم نسخه داخل مجموعات تطوير البرمجيات (SDKs) المُولَّدة باسم params.gen.ts، وكانت الدالة buildClientParams تكتب المفاتيح ذات البادئات غير المعروفة مثل $body_ و$headers_ و$path_ و$query_ مباشرةً إلى الخانات المقابلة لها. وهذا يسمح باستخدام المفتاح $query___proto__ جنبًا إلى جنب مع حقل q شرعي لضبط params.query عبر تعيين params["query"]["__proto__"] = value، واستدعاء Object.setPrototypeOf(params.query, value)، وكشف المفاتيح الموروثة التي يتحكم فيها المهاجم أثناء تكرار for..in. تم إصلاح هذه المشكلة في الإصدار 0.97.3.
If you want to get best quality of vulnerability data, you may have to visit VulDB.