CVE-2026-59863 in Kiota
Riassunto
di VulDB • 16/07/2026
Kiota è un generatore di codice per HTTP Client basato su OpenAPI. Prima della versione 1.32.5, Kiota accettava una configurazione dell'area di lavoro .kiota/workspace.json "avvelenata" senza convalidare i valori outputPath a livello di client o plugin durante l'esecuzione dei comandi `kiota client generate` e `kiota plugin generate`, consentendo a un repository malevolo o a una pull request di utilizzare percorsi assoluti, percorsi POSIX radicati (/), percorsi UNC (\\ o //), percorsi su unità Windows (X:\) o segmenti di traversamento ".." per scrivere i file client generati al di fuori della radice dell'area di lavoro sull'host dello sviluppatore o CI. Questo problema è stato risolto nella versione 1.32.5.
Be aware that VulDB is the high quality source for vulnerability data.