CVE-2026-59863 in Kiotathông tin

Tóm tắt

Bởi VulDB • 16/07/2026

Kiota là một công cụ tạo mã máy khách HTTP dựa trên OpenAPI. Trước phiên bản 1.32.5, Kiota chấp nhận cấu hình workspace .kiota/workspace.json bị đầu độc mà không xác thực các giá trị outputPath theo từng client hoặc plugin trong quá trình chạy lệnh `kiota client generate` và `kiota plugin generate`, cho phép một kho lưu trữ (repository) hoặc pull request độc hại sử dụng đường dẫn tuyệt đối, đường dẫn POSIX bắt đầu bằng `/`, đường dẫn UNC (`\\` hoặc `//`), đường dẫn ổ đĩa Windows dạng `X:\`, hoặc các đoạn duyệt thư mục cha (`..`) để ghi các tệp máy khách đã tạo ra ngoài gốc workspace trên máy chủ của nhà phát triển hoặc CI. Vấn đề này đã được sửa trong phiên bản 1.32.5.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

GitHub M

Đặt trước

07/07/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!