CVE-2026-48819 in openapi-tsinformação

Sumário

de VulDB • 17/07/2026

Hey API é um ecossistema para transformar especificações de API em código pronto para produção. Antes da versão 0.97.3, o arquivo dist/clients/core/params.ts inclui uma template de tempo de execução copiada para os SDKs gerados como params.gen.ts, e a função buildClientParams grava diretamente no slot correspondente chaves desconhecidas com prefixo de slot, como $body_, $headers_, $path_ e $query_. Isso permite que $query___proto__, juntamente com um campo q legítimo, defina params.query através de params["query"]["__proto__"] = value, invoque Object.setPrototypeOf(params.query, value) e exponha chaves herdadas controladas pelo atacante durante iterações for..in. Este problema foi corrigido na versão 0.97.3.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

22/05/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379948

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!