CVE-2026-59867 in Kiotaالمعلومات

الملخص

بحسب VulDB • 16/07/2026

Kiota هو مولّد أكواد لعميل HTTP يعتمد على OpenAPI. قبل الإصدار 1.32.5، كان Kiota يحل قيم `$ref` في ملفات OpenAPI عن طريق جلب عناوين URL البعيدة عبر بروتوكولي http(s) وقراءة مسارات الملفات المحلية المطلقة أو تلك الموجودة خارج الشجرة الرئيسية (out-of-tree)، مما سمح لـ `kiota generate` عند تشغيله على وصف يتحكم فيه المهاجم أو يؤثر عليه، بتنفيذ ثغرة SSRF أثناء وقت البناء، وإدراج ملفات عن بُعد، وإدراج ملفات محلية من خلال تضمين المخططات الخارجية مثل REMOTE_KIOTA_PROP أو تسريبها إلى العملاء المُولَّدين. تم إصلاح هذه المشكلة في الإصدار 1.32.5 باستخدام AllowedExternalOriginsStreamLoader وخيار `--allowed-external-origins`.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379578

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!