CVE-2026-48819 in openapi-ts
要約
〜によって VulDB • 2026年07月17日
Hey APIは、API仕様を生産環境対応のコードに変換するためのエコシステムです。バージョン0.97.3より前では、dist/clients/core/params.tsには生成されたSDKにコピーされるランタイムテンプレートであるparams.gen.tsが含まれており、buildClientParams関数は$body_、$headers_、$path_、および$query_などの未知のスロットプレフィックス付きキーを対応するスロットに直接書き込みます。これにより、正当なqフィールドとともに$query___proto__を使用することで、params["query"]["__proto__"] = valueを通じてparams.queryを設定し、Object.setPrototypeOf(params.query, value)が呼び出され、for..in反復処理中に攻撃者が制御した継承キーが露出する可能性があります。この問題はバージョン0.97.3で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.