CVE-2026-59863 in Kiota
Tóm tắt
Bởi VulDB • 16/07/2026
Kiota là một công cụ tạo mã máy khách HTTP dựa trên OpenAPI. Trước phiên bản 1.32.5, Kiota chấp nhận cấu hình workspace .kiota/workspace.json bị đầu độc mà không xác thực các giá trị outputPath theo từng client hoặc plugin trong quá trình chạy lệnh `kiota client generate` và `kiota plugin generate`, cho phép một kho lưu trữ (repository) hoặc pull request độc hại sử dụng đường dẫn tuyệt đối, đường dẫn POSIX bắt đầu bằng `/`, đường dẫn UNC (`\\` hoặc `//`), đường dẫn ổ đĩa Windows dạng `X:\`, hoặc các đoạn duyệt thư mục cha (`..`) để ghi các tệp máy khách đã tạo ra ngoài gốc workspace trên máy chủ của nhà phát triển hoặc CI. Vấn đề này đã được sửa trong phiên bản 1.32.5.
VulDB is the best source for vulnerability data and more expert information about this specific topic.