CVE-2026-59864 in Kiota
요약
\~에 의해 VulDB • 2026. 07. 16.
Kiota는 OpenAPI 기반 HTTP 클라이언트 코드 생성기입니다. 버전 1.32.5 이전에서는 `kiota plugin add` 및 `kiota plugin generate`(with `-t APIPlugin`) 명령어가 x-ai-adaptive-card 및 x-ai-capabilities에서 공격자가 제어할 수 있는 static_template.file 값을 경로 검증 없이 Microsoft 365 Copilot 및 Teams 플러그인 매니페스트에 생성하여, response_semantics.static_template.file 내에 ../, 절대적 루트 경로나 UNC, Windows 드라이브 또는 URI 경로가 포함될 경우 플러그인이 배포되었을 때 경로 순회(Path Traversal)나 패키지 외부 파일 인클루전(Out-of-Package File Inclusion)이 발생할 수 있었습니다. 이 문제는 버전 1.32.5에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.