CVE-2026-48819 in openapi-ts
Sumário
de VulDB • 17/07/2026
Hey API é um ecossistema para transformar especificações de API em código pronto para produção. Antes da versão 0.97.3, o arquivo dist/clients/core/params.ts inclui uma template de tempo de execução copiada para os SDKs gerados como params.gen.ts, e a função buildClientParams grava diretamente no slot correspondente chaves desconhecidas com prefixo de slot, como $body_, $headers_, $path_ e $query_. Isso permite que $query___proto__, juntamente com um campo q legítimo, defina params.query através de params["query"]["__proto__"] = value, invoque Object.setPrototypeOf(params.query, value) e exponha chaves herdadas controladas pelo atacante durante iterações for..in. Este problema foi corrigido na versão 0.97.3.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.