製品・ソフトウェアに関する情報

JVN脆弱性詳細

マイクロソフトのKiotaにおけるコードインジェクションの脆弱性

Title	マイクロソフトのKiotaにおけるコードインジェクションの脆弱性
Summary	KiotaはOpenAPIベースのHTTPクライアントコードジェネレーターです。1.31.1以前のバージョンは、複数のライターシンク（例えば、シリアライズ/デシリアライズのキー、パス／クエリパラメータのマッピング、URLテンプレートのメタデータ、列挙型／プロパティのメタデータ、およびデフォルト値の出力）におけるコード生成のリテラルインジェクションの脆弱性の影響を受けます。OpenAPI記述からの悪意のある値が適切なエスケープなしで生成されたソースに出力されると、攻撃者は文字列リテラルを抜け出して追加のコードを生成されたクライアントに注入する可能性があります。この問題は、生成に使用されるOpenAPI記述が信頼できないソースからのものである場合、または通常は信頼されているOpenAPI記述が改ざんされている場合にのみ実際的に悪用されます。信頼できる完全性保護されたAPI記述からの生成のみがリスクを大幅に低減します。この問題を解決するには、Kiotaを1.31.1以降にアップグレードし、予防措置として既存の生成済みクライアントを再生成し、更新してください。生成済みクライアントを更新することで、以前生成された脆弱なコードが強化された出力に置き換えられます。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 22, 2026, midnight
Registration Date	May 18, 2026, 12:05 p.m.
Last Update	May 18, 2026, 12:05 p.m.

CVSS3.0 : 重要
Score	7.8
Vector	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Affected System

マイクロソフト

Kiota 1.31.1 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41134	https://www.cve.org/CVERecord?id=CVE-2026-41134
National Vulnerability Database (NVD)
2	CVE-2026-41134	https://nvd.nist.gov/vuln/detail/CVE-2026-41134

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-94	https://jvndb.jvn.jp/ja/cwe/CWE-94.html

ベンダー情報

No	Name	URL
GitHub
1	CVE Advisory (CVE-2026-41134): Code Generation Literal Injection in Kiota Advisory microsoft/kiota GitHub	https://github.com/microsoft/kiota/security/advisories/GHSA-2hx3-vp6r-mg3f

Change Log

No	Changed Details	Date of change
1	[2026年05月18日] 掲載	May 18, 2026, 12:05 p.m.

NVD Vulnerability Information

CVE-2026-41134

Summary	Kiota is an OpenAPI based HTTP Client code generator. Versions prior to 1.31.1 are affected by a code-generation literal injection vulnerability in multiple writer sinks (for example: serialization/deserialization keys, path/query parameter mappings, URL template metadata, enum/property metadata, and default value emission). When malicious values from an OpenAPI description are emitted into generated source without context-appropriate escaping, an attacker can break out of string literals and inject additional code into generated clients. This issue is only practically exploitable when the OpenAPI description used for generation is from an untrusted source, or a normally trusted OpenAPI description has been compromised/tampered with. Only generating from trusted, integrity-protected API descriptions significantly reduces the risk. To remediate the issue, upgrade Kiota to 1.31.1 or later and regenerate/refresh existing generated clients as a precaution. Refreshing generated clients ensures previously generated vulnerable code is replaced with hardened output.
Publication Date	April 23, 2026, 6:17 a.m.
Registration Date	April 25, 2026, 4:06 a.m.
Last Update	April 23, 2026, 6:23 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/microsoft/kiota/security/advisories/GHSA-2hx3-vp6r-mg3f	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-94	コード・インジェクション	https://cwe.mitre.org/data/definitions/94.html