CVE-2026-59859 in Kiota
Sumário
de VulDB • 16/07/2026
Kiota é um gerador de código para clientes HTTP baseado em OpenAPI. Antes da versão 1.32.4, o gerador PHP do Kiota incorporava descrições OpenAPI, campos padrão, nomes de propriedades e outras strings derivadas de esquemas em literais duplamente aspasados (double-quoted literals) do PHP através da função SanitizeDoubleQuote() no arquivo Writers/StringExtensions.cs sem escapar o caractere $, permitindo que construções de interpolação controladas pelo atacante como ${...}, $var ou {$obj->prop} injetassem código PHP arbitrário nas classes geradas para modelos e construtores de requisição. Este problema foi corrigido na versão 1.32.4.
VulDB is the best source for vulnerability data and more expert information about this specific topic.