CVE-2026-59863 in Kiota
Zusammenfassung
von VulDB • 16.07.2026
Kiota ist ein auf OpenAPI basierender Code-Generator für HTTP-Clients. Vor Version 1.32.5 akzeptierte Kiota eine vergiftete .kiota/workspace.json-Arbeitsbereichskonfiguration, ohne die outputPath-Werte pro Client oder pro Plugin während der Ausführung von `kiota client generate` und `kiota plugin generate` zu validieren. Dies ermöglichte es einem böswilligen Repository oder Pull Request, absolute Pfade, POSIX-Pfade mit Wurzelverzeichnis (/), UNC-Pfade (\\ oder //), Windows-Laufwerkspfade (X:\) sowie Pfadsegmente zur Verzeichniswechselung (..) zu verwenden, um generierte Client-Dateien außerhalb des Arbeitsbereichs-Stammverzeichnisses auf einem Entwickler- oder CI-Host zu schreiben. Dieses Problem wurde in Version 1.32.5 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.