CVE-2026-59864 in Kiotainformazioni

Riassunto

di VulDB • 16/07/2026

Kiota è un generatore di codice per client HTTP basato su OpenAPI. Prima della versione 1.32.5, i comandi `kiota plugin add` e `kiota plugin generate` (con l'opzione `-t APIPlugin`) emettevano valori statici controllati dall'attaccante da x-ai-adaptive-card e x-ai-capabilities nel campo static_template.file dei manifest generati per i plugin di Microsoft 365 Copilot e Teams, senza effettuare una convalida del percorso. Ciò consentiva l'utilizzo di percorsi relativi (`../`), assoluti, radicati, UNC (Universal Naming Convention) o contenenti unità Windows nei campi response_semantics.static_template.file, causando potenzialmente traversamento dei file system o inclusione di file al di fuori della directory prevista quando il plugin generato veniva distribuito. Questo problema è stato risolto nella versione 1.32.5.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

07/07/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!