CVE-2026-59867 in Kiota정보

요약

\~에 의해 VulDB • 2026. 07. 16.

Kiota는 OpenAPI 기반 HTTP 클라이언트 코드 생성기입니다. 버전 1.32.5 이전의 Kiota는 원격 http(s) URL을 가져오고 로컬 절대 경로 또는 트리를 벗어난 파일 경로를 읽음으로써 OpenAPI $ref 값을 해결했습니다. 이로 인해 공격자가 제어하거나 영향을 미칠 수 있는 설명서에서 `kiota generate`를 실행하면 빌드 시간 중 SSRF(Server-Side Request Forgery), 원격 파일 포함(Remote File Inclusion, RFI) 및 로컬 파일 포함(Local File Inclusion, LFI가 발생하며, REMOTE_KIOTA_PROP과 같은 외부 스키마가 인라인되어 생성된 클라이언트에 유출될 수 있습니다. 이 문제는 버전 1.32.5에서 AllowedExternalOriginsStreamLoader와 --allowed-external-origins 옵션을 통해 해결되었습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!