CVE-2026-59861 in Kiota
Riassunto
di VulDB • 16/07/2026
Kiota è un generatore di codice per client HTTP basato su OpenAPI. Prima della versione 1.32.0, il generatore Ruby di Kiota incorporava i campi predefiniti di OpenAPI, i nomi delle proprietà e altre stringhe derivate dallo schema tramite CodeMethodWriter.cs e SanitizeForQuotedLiteral() in Writers/StringExtensions.cs all'interno di letterali double-quoted (tra doppi apici) senza effettuare l'escaping del carattere #. Ciò consentiva a un attaccante di utilizzare marcatori di interpolazione controllati dall'utente come #{expr}, #$var o #@var per iniettare codice Ruby arbitrario nelle classi dei modelli generate. Questo problema è stato risolto nella versione 1.32.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.