目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1336

100%

CVE-2026-59863— Kiota 工作区配置污染导致文件写入及SSRF漏洞

AI 预测 8.6 利用难度: 较易

影响版本矩阵 1

厂商产品版本范围状态
microsoftkiota< 1.32.5affected
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2026-59863 基础信息

漏洞信息

对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
Kiota: Workspace-config poisoning: out-of-repo file write + generation-time SSRF
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Kiota is an OpenAPI based HTTP Client code generator. Prior to 1.32.5, Kiota honored a poisoned .kiota/workspace.json workspace configuration without validating per-client or per-plugin outputPath values during kiota client generate and kiota plugin generate, allowing a malicious repository or pull request to use absolute paths, rooted POSIX / paths, UNC \\ or // paths, Windows drive X:\ paths, or .. traversal segments to write generated client files outside the workspace root on a developer or CI host. This issue is fixed in version 1.32.5.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
对路径名的限制不恰当(路径遍历)
来源: 美国国家漏洞数据库 NVD

受影响产品

厂商产品影响版本CPE订阅
microsoftkiota < 1.32.5 -

二、漏洞 CVE-2026-59863 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-59863 的情报信息

登录查看更多情报信息。

CVE-2026-59863 补丁与修复 (2)

CVE-2026-59863 厂商安全公告 (1)

CVE-2026-59863 厂商页面 (1)

同批安全公告 · microsoft · 2026-07-16 · 共 20 条

CVE-2026-572068.6 HIGHSimpleChat插件验证端点缺少身份验证和授权
CVE-2026-591177.5 HIGHWindows Terminal 远程代码执行漏洞
CVE-2026-535987.5 HIGHPrompty ${file:path} 引用扩展导致任意文件读取漏洞
CVE-2026-598617.5 HIGHKiota Ruby 生成器代码生成字面量注入漏洞
CVE-2026-598627.5 HIGHKiota Python 代码生成器字面量注入漏洞
CVE-2026-598677.1 HIGHKiota 未限制$ref 导致的 SSRF 和文件包含漏洞
CVE-2026-585987.0 HIGHWindows 备份服务提权漏洞
CVE-2026-554406.5 MEDIUMMicrosoft UFO COMMAND_RESULTS 处理程序漏洞,允许经过身份验证的会话 squat 拒绝服务
CVE-2026-586436.1 MEDIUMWindows Admin Center 欺骗漏洞
CVE-2026-628264.6 MEDIUMMicrosoft SharePoint Server 欺骗漏洞
CVE-2026-545684.3 MEDIUMMicrosoft UFO DEVICE_INFO_REQUEST缺少授权,可读取其他设备信息
CVE-2026-572054.3 MEDIUMSimpleChat 用户IDOR漏洞可导致敏感信息泄露
CVE-2026-59860Kiota XML注释换行代码注入漏洞
CVE-2026-59859Kiota PHP生成器代码生成字面量注入漏洞
CVE-2026-59865Kiota 远程命令执行漏洞
CVE-2026-59864Kiota x-ai-*扩展路径注入漏洞
CVE-2026-59866Kiota 任意文件写入及代码注入漏洞
CVE-2026-54733Moodle local_o365 插件 Teams SSO 端点未验证JWT签名导致认证绕过漏洞
CVE-2026-53597Prompty TypeScript加载器JavaScript头信息远程代码执行漏洞

IV. Related Vulnerabilities

V. Comments for CVE-2026-59863

暂无评论


发表评论