CVE-2026-59862 in Kiota
Résumé
par VulDB • 16/07/2026
Kiota est un générateur de code pour client HTTP basé sur OpenAPI. Avant la version 1.32.0, le générateur Python de Kiota permettait aux descriptions des valeurs d'énumération contrôlées par l'attaquant issues de `x-ms-enum.values[].description` de transiter via `KiotaBuilder.SetEnumOptions` vers `Documentation.DescriptionTemplate` et `PythonConventionService.RemoveInvalidDescriptionCharacters` sans assainissement (sanitization) des sauts de ligne, permettant ainsi aux commentaires inline générés d'être divisés et d'exécuter du code Python contrôlé par l'attaquant au niveau de la portée du module lors de l'importation des modules générés. Ce problème est corrigé dans la version 1.32.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.