CVE-2026-59862 in Kiota情報

要約

〜によって VulDB • 2026年07月16日

Kiotaは、OpenAPIベースのHTTPクライアントコードジェネレーターです。バージョン1.32.0より前では、KiotaのPythonジェネレーターにより、攻撃者が制御可能なenum値の説明(x-ms-enum.values[].description)が、改行のサニタイズ処理なしで KiotaBuilder.SetEnumOptions から Documentation.DescriptionTemplate および PythonConventionService.RemoveInvalidDescriptionCharacters へと渡されていました。これにより、生成されたモジュールがインポートされる際に、生成されたインラインコメントが分割され、攻撃者が制御可能なPythonコードをモジュールスコープで実行することが可能でした。この問題はバージョン1.32.0で修正されています。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年07月07日

モデレーション

承諾済み

エントリ

VDB-379537

EPSS

0.00000

アクティビティ

低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!