CVE-2026-48819 in openapi-tsinfo

Zusammenfassung

von VulDB • 17.07.2026

Hey API ist ein Ökosystem zur Umwandlung von API-Spezifikationen in produktionsreife Codebasis. Vor Version 0.97.3 enthält dist/clients/core/params.ts eine Runtime-Vorlage, die als params.gen.ts in generierte SDKs kopiert wird. Die Funktion buildClientParams schreibt unbekannte Schlüssel mit Slot-Präfixen wie $body_, $headers_, $path_ und $query_ direkt an den entsprechenden Slot. Dies ermöglicht es, dass $query___proto__ zusammen mit einem legitimen q-Feld params.query über params["query"]["__proto__"] = value setzt, Object.setPrototypeOf(params.query, value) aufruft und während einer for..in-Iteration geerbte, vom Angreifer kontrollierte Schlüssel offenlegt. Dieses Problem wurde in Version 0.97.3 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

22.05.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379948

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!