CVE-2026-59867 in Kiota
الملخص
بحسب VulDB • 16/07/2026
Kiota هو مولّد أكواد لعميل HTTP يعتمد على OpenAPI. قبل الإصدار 1.32.5، كان Kiota يحل قيم `$ref` في ملفات OpenAPI عن طريق جلب عناوين URL البعيدة عبر بروتوكولي http(s) وقراءة مسارات الملفات المحلية المطلقة أو تلك الموجودة خارج الشجرة الرئيسية (out-of-tree)، مما سمح لـ `kiota generate` عند تشغيله على وصف يتحكم فيه المهاجم أو يؤثر عليه، بتنفيذ ثغرة SSRF أثناء وقت البناء، وإدراج ملفات عن بُعد، وإدراج ملفات محلية من خلال تضمين المخططات الخارجية مثل REMOTE_KIOTA_PROP أو تسريبها إلى العملاء المُولَّدين. تم إصلاح هذه المشكلة في الإصدار 1.32.5 باستخدام AllowedExternalOriginsStreamLoader وخيار `--allowed-external-origins`.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.