CVE-2026-59867 in Kiota
요약
\~에 의해 VulDB • 2026. 07. 16.
Kiota는 OpenAPI 기반 HTTP 클라이언트 코드 생성기입니다. 버전 1.32.5 이전의 Kiota는 원격 http(s) URL을 가져오고 로컬 절대 경로 또는 트리를 벗어난 파일 경로를 읽음으로써 OpenAPI $ref 값을 해결했습니다. 이로 인해 공격자가 제어하거나 영향을 미칠 수 있는 설명서에서 `kiota generate`를 실행하면 빌드 시간 중 SSRF(Server-Side Request Forgery), 원격 파일 포함(Remote File Inclusion, RFI) 및 로컬 파일 포함(Local File Inclusion, LFI가 발생하며, REMOTE_KIOTA_PROP과 같은 외부 스키마가 인라인되어 생성된 클라이언트에 유출될 수 있습니다. 이 문제는 버전 1.32.5에서 AllowedExternalOriginsStreamLoader와 --allowed-external-origins 옵션을 통해 해결되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.