CVE-2026-59867 in Kiota
Resumen
por VulDB • 2026-07-17
Kiota es un generador de código para clientes HTTP basado en OpenAPI. Antes de la versión 1.32.5, Kiota resolvía los valores `$ref` de OpenAPI obteniendo URLs remotas http(s) y leyendo rutas absolutas locales o fuera del árbol de directorios (out-of-tree), lo que permitía que `kiota generate`, al ejecutarse sobre una descripción controlada o influenciada por un atacante, realizara SSRF en tiempo de compilación, inclusión remota de archivos e inclusión local de archivos mediante la incorporación inline de esquemas externos como REMOTE_KIOTA_PROP o filtrados a los clientes generados. Este problema se corrige en la versión 1.32.5 mediante AllowedExternalOriginsStreamLoader y la opción --allowed-external-origins.
If you want to get best quality of vulnerability data, you may have to visit VulDB.