CVE-2026-59867 in Kiota情報

要約

〜によって VulDB • 2026年07月16日

Kiotaは、OpenAPIベースのHTTPクライアントコードジェネレーターです。バージョン1.32.5より前では、Kiotaはリモートのhttp(s) URLフェッチやローカルの絶対パスまたはツリー外のファイルパスを読み取ることでOpenAPI $ref値を解決しており、攻撃者が制御または影響を与えた記述に対して`kiota generate`を実行することで、ビルド時のSSRF(サーバーサイドリクエストフォージェリ)、リモートファイルインクルージョン、および外部スキーマ(例:REMOTE_KIOTA_PROP)のインライン化によって生成されたクライアントに漏洩するローカルファイルインクルージョンが可能でした。この問題は、バージョン1.32.5でAllowedExternalOriginsStreamLoaderと--allowed-external-originsオプションにより修正されました。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

モデレーション

承諾済み

エントリ

VDB-379578

EPSS

0.00000

アクティビティ

低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!