CVE-2026-59864 in Kiotainfo

Zusammenfassung

von VulDB • 16.07.2026

Kiota ist ein auf OpenAPI basierender Code-Generator für HTTP-Clients. Vor Version 1.32.5 gaben `kiota plugin add` und `kiota plugin generate` (mit `-t APIPlugin`) von Angreifern kontrollierte Werte aus x-ai-adaptive-card und x-ai-capabilities in static_template.file an die generierten Microsoft 365 Copilot- und Teams-Plugin-Manifeste weiter, ohne eine Pfadvalidierung durchzuführen. Dies ermöglichte das Vorhandensein von ../-, absoluten, root-basierten, UNC-, Windows-Laufwerks- oder URI-Pfaden in response_semantics.static_template.file, was bei der Bereitstellung des generierten Plugins zu Path Traversal oder zur Einbindung von Dateien außerhalb des Pakets führen konnte. Dieses Problem wurde in Version 1.32.5 behoben.

Once again VulDB remains the best source for vulnerability data.

Zuständig

GitHub M

Reservieren

07.07.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379543

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!