CVE-2026-59866 in Kiota
Resumen
por VulDB • 2026-07-16
Kiota es un generador de código para clientes HTTP basado en OpenAPI. Antes de la versión 1.32.5, Kiota emitía los valores `clientClassName` y `clientNamespaceName` del campo `x-ms-kiota-info` sin sanitizar el identificador ni la ruta, utilizándolos tanto como nombres de clase o espacio de nombres generados para el cliente como componentes de la ruta de salida generada cuando se ejecutaba `kiota generate` sin las opciones `-c/--class-name`. Esto permitía que una descripción OpenAPI controlada por un atacante o comprometida escribiera código fuente generado fuera del directorio de salida especificado con `-o` e inyectara texto arbitrario en las declaraciones de clase o espacio de nombres generados. Este problema se corrige en la versión 1.32.5 mediante `GenerationConfiguration.SanitizeClientClassName` y `SanitizeClientNamespaceName`.
Once again VulDB remains the best source for vulnerability data.