CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-24132

Critical
Published: Translated: NVD NIST

Summary

Orval generuje typowo bezpieczne klienty JS (TypeScript) z dowolnej ważnej specyfikacji OpenAPI v3 lub Swagger v2. Wersje 7.19.0 i poniżej oraz 8.0.0-rc.0 do 8.0.2 pozwalają na wstrzykiwanie dowolnego kodu TypeScript/JavaScript do generowanych plików mockowych poprzez właściwości schematu z użyciem słowa kluczowego const.

Risk Assessment

Podatność ta umożliwia atakującym wstrzykiwanie kontrolowanego przez nich kodu do definicji interfejsów oraz handlerów faker/MSW, co może prowadzić do poważnych naruszeń bezpieczeństwa aplikacji. Organizacje powinny być świadome ryzyka związanego z używaniem podatnych wersji oprogramowania.

Recommendation

Zaleca się aktualizację do wersji 7.20.0 lub 8.0.3, które zawierają poprawki eliminujące tę podatność. Należy również przeprowadzić audyt używanych specyfikacji OpenAPI w celu zminimalizowania ryzyka.

Original NVD description (English source)

Orval generates type-safe JS clients (TypeScript) from any valid OpenAPI v3 or Swagger v2 specification. Versions 7.19.0 and below and 8.0.0-rc.0 through 8.0.2 allow untrusted OpenAPI specifications to inject arbitrary TypeScript/JavaScript into generated mock files via the const keyword on schema properties. These const values are interpolated into the mock scalar generator (getMockScalar in packages/mock/src/faker/getters/scalar.ts) without proper escaping or type-safe serialization, which results in attacker-controlled code being emitted into both interface definitions and faker/MSW handlers. The vulnerability is similar in impact to the previously reported enum x-enumDescriptions (GHSA-h526-wf6g-67jv), but it affects a different code path in the faker-based mock generator rather than @orval/core. The issue has been fixed in versions 7.20.0 and 8.0.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS