CVE-2026-48819 in openapi-ts정보

요약

\~에 의해 VulDB • 2026. 07. 17.

Hey API는 API 명세를 프로덕션 준비가 완료된 코드로 변환하기 위한 생태계입니다. 버전 0.97.3 이전의 dist/clients/core/params.ts에는 생성된 SDK에 params.gen.ts로 복사되어 배포되는 런타임 템플릿이 포함되어 있으며, buildClientParams 함수는 $body_, $headers_, $path_ 및 $query_와 같은 알 수 없는 슬롯 접두사가 붙은 키들을 해당 슬롯에 직접 작성합니다. 이를 통해 정당한 q 필드와 함께 $query___proto__가 전달되면 params["query"]["__proto__"] = value를 호출하여 Object.setPrototypeOf(params.query, value)가 실행되고, for..in 반복문 동안 공격자가 제어할 수 있는 상속된 키들이 노출됩니다. 이 문제는 버전 0.97.3에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 05. 22.

모더레이션

수락

항목

VDB-379948

EPSS

0.00000

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!