CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-22785

Critical
Published: Translated: NVD NIST

Summary

CVE-2026-22785 dotyczy podatności w orval, który generuje typowo bezpieczne klienty JS (TypeScript) z specyfikacji OpenAPI v3 lub Swagger v2. W wersjach przed 7.18.0 logika generacji serwera MCP opiera się na manipulacji ciągami, co pozwala na wstrzykiwanie dowolnego kodu poprzez niewłaściwą walidację pola podsumowania.

Risk Assessment

Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa w aplikacjach korzystających z orval. Organizacje powinny być świadome ryzyka związanego z nieaktualnymi wersjami oprogramowania.

Recommendation

Zaleca się aktualizację orval do wersji 7.18.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć aplikacje przed potencjalnymi atakami.

Original NVD description (English source)

orval generates type-safe JS clients (TypeScript) from any valid OpenAPI v3 or Swagger v2 specification. Prior to 7.18.0, the MCP server generation logic relies on string manipulation that incorporates the summary field from the OpenAPI specification without proper validation or escaping. This allows an attacker to "break out" of the string literal and inject arbitrary code. This vulnerability is fixed in 7.18.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS