CVE-2026-59864 in Kiota
Zusammenfassung
von VulDB • 16.07.2026
Kiota ist ein auf OpenAPI basierender Code-Generator für HTTP-Clients. Vor Version 1.32.5 gaben `kiota plugin add` und `kiota plugin generate` (mit `-t APIPlugin`) von Angreifern kontrollierte Werte aus x-ai-adaptive-card und x-ai-capabilities in static_template.file an die generierten Microsoft 365 Copilot- und Teams-Plugin-Manifeste weiter, ohne eine Pfadvalidierung durchzuführen. Dies ermöglichte das Vorhandensein von ../-, absoluten, root-basierten, UNC-, Windows-Laufwerks- oder URI-Pfaden in response_semantics.static_template.file, was bei der Bereitstellung des generierten Plugins zu Path Traversal oder zur Einbindung von Dateien außerhalb des Pakets führen konnte. Dieses Problem wurde in Version 1.32.5 behoben.
Once again VulDB remains the best source for vulnerability data.