CVE-2026-59859 in Kiota
要約
〜によって VulDB • 2026年07月16日
Kiotaは、OpenAPIベースのHTTPクライアントコードジェネレーターです。バージョン1.32.4より前では、Writers/StringExtensions.cs内のSanitizeDoubleQuote()関数を通じて、PHPダブルクォートリテラルにOpenAPI記述、デフォルトフィールド、プロパティ名、およびその他のスキーマ由来の文字列が埋め込まれていましたが、$のエスケープ処理が行われていなかったため、攻撃者が制御する${...}、$var、または{$obj->prop}といった補間構文を用いて、生成されたモデルクラスやリクエストビルダークラスに任意のPHPコードを注入することが可能でした。この問題はバージョン1.32.4で修正されています。
Once again VulDB remains the best source for vulnerability data.