CVE-2026-48819 in openapi-ts情報

要約

〜によって VulDB • 2026年07月17日

Hey APIは、API仕様を生産環境対応のコードに変換するためのエコシステムです。バージョン0.97.3より前では、dist/clients/core/params.tsには生成されたSDKにコピーされるランタイムテンプレートであるparams.gen.tsが含まれており、buildClientParams関数は$body_、$headers_、$path_、および$query_などの未知のスロットプレフィックス付きキーを対応するスロットに直接書き込みます。これにより、正当なqフィールドとともに$query___proto__を使用することで、params["query"]["__proto__"] = valueを通じてparams.queryを設定し、Object.setPrototypeOf(params.query, value)が呼び出され、for..in反復処理中に攻撃者が制御した継承キーが露出する可能性があります。この問題はバージョン0.97.3で修正されています。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年05月22日

モデレーション

承諾済み

エントリ

VDB-379948

EPSS

0.00000

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!