CVE-2026-59866 in Kiotainformazioni

Riassunto

di VulDB • 16/07/2026

Kiota è un generatore di codice per client HTTP basato su OpenAPI. Prima della versione 1.32.5, Kiota emetteva i valori `clientClassName` e `clientNamespaceName` contenenti l'header `x-ms-kiota-info` senza sanitizzazione dell'identificatore o del percorso; questi valori venivano utilizzati sia come nomi di classe o namespace generati per il client che come componenti del percorso di output generato quando veniva eseguito `kiota generate` senza le opzioni `-c/--class-name`. Ciò consentiva a una descrizione OpenAPI controllata da un attaccante o compromessa di scrivere codice sorgente generato al di fuori della directory di output specificata con l'opzione `-o` e di iniettare testo arbitrario nelle dichiarazioni delle classi o dei namespace generati. Questo problema è stato risolto nella versione 1.32.5 mediante le funzioni `GenerationConfiguration.SanitizeClientClassName` e `SanitizeClientNamespaceName`.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

07/07/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!