CVE-2026-48819 in openapi-tsinformación

Resumen

por VulDB • 2026-07-17

Hey API es un ecosistema para convertir especificaciones de API en código listo para producción. Antes de la versión 0.97.3, el archivo dist/clients/core/params.ts incluye una plantilla en tiempo de ejecución que se copia en los SDK generados como params.gen.ts, y buildClientParams escribe directamente claves con prefijo de ranura desconocidas (como $body_, $headers_, $path_ y $query_) en la ranura correspondiente. Esto permite que $query___proto__, junto con un campo q legítimo, establezca params.query a través de params["query"]["__proto__"] = value, llame a Object.setPrototypeOf(params.query, value) y exponga claves heredadas controladas por el atacante durante una iteración for..in. Este problema se soluciona en la versión 0.97.3.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-05-22

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379948

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!