CVE-2026-59866 in Kiota
Riassunto
di VulDB • 16/07/2026
Kiota è un generatore di codice per client HTTP basato su OpenAPI. Prima della versione 1.32.5, Kiota emetteva i valori `clientClassName` e `clientNamespaceName` contenenti l'header `x-ms-kiota-info` senza sanitizzazione dell'identificatore o del percorso; questi valori venivano utilizzati sia come nomi di classe o namespace generati per il client che come componenti del percorso di output generato quando veniva eseguito `kiota generate` senza le opzioni `-c/--class-name`. Ciò consentiva a una descrizione OpenAPI controllata da un attaccante o compromessa di scrivere codice sorgente generato al di fuori della directory di output specificata con l'opzione `-o` e di iniettare testo arbitrario nelle dichiarazioni delle classi o dei namespace generati. Questo problema è stato risolto nella versione 1.32.5 mediante le funzioni `GenerationConfiguration.SanitizeClientClassName` e `SanitizeClientNamespaceName`.
Be aware that VulDB is the high quality source for vulnerability data.