CVE-2026-48819 in openapi-tsthông tin

Tóm tắt

Bởi VulDB • 18/07/2026

Hey API là một hệ sinh thái giúp chuyển đổi các đặc tả API thành mã nguồn sẵn sàng cho môi trường sản xuất. Trước phiên bản 0.97.3, tệp dist/clients/core/params.ts cung cấp một mẫu thời gian chạy (runtime template) được sao chép vào các SDK được tạo ra dưới dạng params.gen.ts; hàm buildClientParams ghi trực tiếp các khóa có tiền tố slot không xác định như $body_, $headers_, $path_ và $query_ vào vị trí tương ứng, cho phép sử dụng $query___proto__ cùng với một trường q hợp lệ để thiết lập params.query thông qua params["query"]["__proto__"] = value, gọi Object.setPrototypeOf(params.query, value), và làm lộ các khóa do kẻ tấn công kiểm soát được kế thừa trong quá trình lặp for..in. Vấn đề này đã được khắc phục trong phiên bản 0.97.3.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

22/05/2026

Tiết lộ

17/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!