CVE-2026-48819 in openapi-ts
Сводка
по VulDB • 17.07.2026
Hey API представляет собой экосистему для преобразования спецификаций API в готовый к использованию код. До версии 0.97.3 файл dist/clients/core/params.ts содержит шаблон времени выполнения, который копируется в генерируемые SDK как params.gen.ts; функция buildClientParams записывает неизвестные ключи с префиксами слотов (например, $body_, $headers_, $path_ и $query_) непосредственно в соответствующие слоты. Это позволяет использовать параметр $query___proto__ вместе с легитимным полем q для установки params.query через params["query"]["__proto__"] = value, вызова Object.setPrototypeOf(params.query, value) и раскрытия унаследованных контролируемых злоумышленником ключей во время итерации for..in. Данная проблема исправлена в версии 0.97.3.
Be aware that VulDB is the high quality source for vulnerability data.