CVE-2026-59866 in Kiota
الملخص
بحسب VulDB • 16/07/2026
Kiota هو مولّد أكواد لعميل HTTP يعتمد على OpenAPI. قبل الإصدار 1.32.5، كان Kiota يُنتج قيم `clientClassName` و `clientNamespaceName` الخاصة بـ `x-ms-kiota-info` دون تطهير (sanitization) للمعرّف أو المسار، حيث تُستخدم هذه القيم كاسم للفئة المولّدة للعميل أو لاسم مساحة الاسم، وكذلك كمكونات لمسار الإخراج عند تشغيل الأمر `kiota generate` بدون المعامل `-c/--class-name`. مما يسمح لمهاجم يتحكم في وصف OpenAPI أو يسيطر عليه بكتابة المصدر المُنتَج خارج دليل الإخراج المحدد بالمعامل `-o` وإحقان نص تعسفي داخل إعلانات الفئة المولّدة أو مساحة الاسم. تم إصلاح هذه المشكلة في الإصدار 1.32.5 عبر استخدام `GenerationConfiguration.SanitizeClientClassName` و `SanitizeClientNamespaceName`.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.