CVE-2026-24132

HIGH

中文标题:

（暂无数据）

英文标题:

Orval Mock Generation Code Injection via const

CVSS分数: 7.7

发布时间: 2026-01-22 23:47:45

漏洞类型: （暂无数据）

状态: PUBLISHED

数据质量分数: 0.40

数据版本: v2

漏洞描述

中文描述:

（暂无数据）

英文描述:

Orval generates type-safe JS clients (TypeScript) from any valid OpenAPI v3 or Swagger v2 specification. Versions 7.19.0 and below and 8.0.0-rc.0 through 8.0.2 allow untrusted OpenAPI specifications to inject arbitrary TypeScript/JavaScript into generated mock files via the const keyword on schema properties. These const values are interpolated into the mock scalar generator (getMockScalar in packages/mock/src/faker/getters/scalar.ts) without proper escaping or type-safe serialization, which results in attacker-controlled code being emitted into both interface definitions and faker/MSW handlers. The vulnerability is similar in impact to the previously reported enum x-enumDescriptions (GHSA-h526-wf6g-67jv), but it affects a different code path in the faker-based mock generator rather than @orval/core. The issue has been fixed in versions 7.20.0 and 8.0.3.

CWE类型:

CWE-77

受影响产品

厂商	产品	版本	版本范围	平台	CPE
orval-labs	orval	< 7.20.0	-	-	`cpe:2.3:a:orval-labs:orval:<_7.20.0:::::::*`
orval-labs	orval	>= 8.0.0-rc.0, < 8.0.3	-	-	`cpe:2.3:a:orval-labs:orval:>=_8.0.0-rc.0,_<_8.0.3:::::::*`

解决方案

中文解决方案:

（暂无数据）

英文解决方案:

（暂无数据）

临时解决方案:

（暂无数据）

参考链接

https://github.com/orval-labs/orval/security/advisories/GHSA-f456-rf33-4626 x_refsource_CONFIRM
cve.org

访问

https://github.com/orval-labs/orval/pull/2828 x_refsource_MISC
cve.org

访问

https://github.com/orval-labs/orval/pull/2829 x_refsource_MISC
cve.org

访问

https://github.com/orval-labs/orval/pull/2830 x_refsource_MISC
cve.org

访问

https://github.com/orval-labs/orval/commit/44ca8c1f5f930a3e4cefb6b79b38bcde7f8532a5 x_refsource_MISC
cve.org

访问

https://github.com/orval-labs/orval/commit/6d8ece07ccb80693ad43edabccb3957aceadcd06 x_refsource_MISC
cve.org

访问

https://github.com/orval-labs/orval/commit/9b211cddc9f009f8a671e4ac5c6cb72cd8646b62 x_refsource_MISC
cve.org

访问

https://github.com/orval-labs/orval/releases/tag/v7.20.0 x_refsource_MISC
cve.org

访问

https://github.com/orval-labs/orval/releases/tag/v8.0.3 x_refsource_MISC
cve.org

访问

CVSS评分详情

4.0 (cna)

HIGH

7.7

CVSS向量: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

机密性

HIGH

完整性

HIGH

可用性

HIGH

后续系统影响 (Subsequent):

机密性

NONE

完整性

NONE

可用性

NONE

时间信息

发布时间:

2026-01-22 23:47:45

修改时间:

2026-01-22 23:47:45

创建时间:

2026-01-23 06:00:13

更新时间:

2026-01-27 06:00:17

利用信息

暂无可利用代码信息

数据源详情

数据源	记录ID	版本	提取时间
CVE	`cve_CVE-2026-24132`	2026-01-23 03:20:00	2026-01-22 22:00:13
NVD	`nvd_CVE-2026-24132`	2026-01-23 02:00:05	2026-01-22 22:00:17

版本与语言

当前版本: v2

主要语言: EN

支持语言:

安全公告

暂无安全公告信息

变更历史

v2 NVD

2026-01-23 06:00:17

data_sources: ['cve'] → ['cve', 'nvd']

查看详细变更

data_sources: ['cve'] -> ['cve', 'nvd']

CVE-2026-24132

中文标题:

（暂无数据）

英文标题:

Orval Mock Generation Code Injection via const

漏洞描述

中文描述:

英文描述:

CWE类型:

标签:

受影响产品

解决方案

中文解决方案:

英文解决方案:

临时解决方案:

参考链接

CVSS评分详情

4.0 (cna)

时间信息

利用信息

数据源详情

版本与语言

安全公告

变更历史