CVE 公告:Kiota 代码生成字面量注入漏洞 漏洞概述 Kiota 版本在 1.31.1 之前 存在代码生成字面量注入漏洞。该漏洞影响多个写入端点(例如:序列化/反序列化键、路径/查询参数映射、URL 模板元数据、枚举/属性元数据和默认值生成)。 当恶意值从 OpenAPI 描述中被发出并进入生成的源代码,且未进行适当的上下文转义时,攻击者可以破坏字符串字面量并向生成的客户端注入额外代码。 影响范围 受影响版本:所有 版本 修复版本: 及更高版本 利用前提: 1. 用于生成的 OpenAPI 描述来自不受信任的来源;或 2. 通常受信任的 OpenAPI 描述已被篡改/破坏。 注:如果仅从受信任的、完整性保护的 API 描述中生成,风险显著降低。 利用示例 (POC) 示例 OpenAPI 片段(恶意默认值): 示例生成的 C代码片段(修复前,说明性): 注:此利用不限于默认值,也可能影响属性名称(序列化)、路径或查询参数、枚举表示和其他位置。 修复方案 1. 将 Kiota 升级到 1.31.1 或更高版本。 2. 重新生成/刷新现有的生成客户端作为预防措施。 刷新生成的客户端可确保之前生成的易受攻击的代码被硬化的输出所替换。