Katalog CVE

CVE-2026-22785

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

CVE-2026-22785 dotyczy podatności w orval, który generuje typowo bezpieczne klienty JS (TypeScript) z specyfikacji OpenAPI v3 lub Swagger v2. W wersjach przed 7.18.0 logika generacji serwera MCP opiera się na manipulacji ciągami, co pozwala na wstrzykiwanie dowolnego kodu poprzez niewłaściwą walidację pola podsumowania.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa w aplikacjach korzystających z orval. Organizacje powinny być świadome ryzyka związanego z nieaktualnymi wersjami oprogramowania.

Rekomendacja

Zaleca się aktualizację orval do wersji 7.18.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć aplikacje przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

orval generates type-safe JS clients (TypeScript) from any valid OpenAPI v3 or Swagger v2 specification. Prior to 7.18.0, the MCP server generation logic relies on string manipulation that incorporates the summary field from the OpenAPI specification without proper validation or escaping. This allows an attacker to "break out" of the string literal and inject arbitrary code. This vulnerability is fixed in 7.18.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS