CVE-2026-59865 in kiota情報

要約

〜によって VulDB • 2026年07月16日

Kiotaは、OpenAPIベースのHTTPクライアントコードジェネレーターです。バージョン1.32.5より前では、`kiota info`コマンドがOpenAPI記述から `x-ms-kiota-info.languagesInformation.<language>.dependencyInstallCommand` および依存関係の名前とバージョン値を読み取り、仕様で指定されたコマンドをKiotaの推奨インストールコマンドとして表示していました。これにより、攻撃者が操作または乗っ取った記述ファイルを使用することで、手動実行時やKiota VS Code拡張機能の `kiota info --json dependency-install` フローを通じて推奨コマンドが実行される際に、コマンドインジェクションを引き起こす可能性がありました。この問題はバージョン1.32.5で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2026年07月07日

モデレーション

承諾済み

エントリ

VDB-379548

EPSS

0.00000

アクティビティ

低い

ソース

Interested in the pricing of exploits?

See the underground prices here!