CVE-2026-59865 in kiota
Zusammenfassung
von VulDB • 16.07.2026
Kiota ist ein auf OpenAPI basierender HTTP-Client-Codegenerator. Vor Version 1.32.5 las `kiota info` die Werte für x-ms-kiota-info.languagesInformation.<language>.dependencyInstallCommand sowie den Abhängigkeitsnamen und die -version aus einer OpenAPI-Beschreibung (Specification) aus und präsentierte den in der Spezifikation angegebenen Befehl als Kiotas empfohlenen Installationsbefehl. Dies ermöglichte es einem Angreifer, durch eine manipulierte oder kompromittierte Beschreibung einen Command-Injection-Angriff zu verursachen, wenn der vorgeschlagene Befehl manuell oder über den `kiota info --json dependency-install`-Flow in der Kiota VS Code-Erweiterung ausgeführt wurde. Dieses Problem ist in Version 1.32.5 behoben.
Once again VulDB remains the best source for vulnerability data.