JVNDB-2026-005405

Orvalにおける複数の脆弱性

Orvalは、有効なOpenAPI v3またはSwagger v2仕様から型安全なJSクライアント（TypeScript）を生成します。7.19.0より前のバージョンから8.0.2までのバージョンには、生成されたクライアントを使用する環境において任意のコード実行の脆弱性があります。この問題は類似の脆弱性と関連していますが、特定のコードパスに影響を与えます。この脆弱性により、信頼されていないOpenAPI仕様がx-enumDescriptionsフィールドを介して任意のTypeScript/JavaScriptコードを生成されたクライアントに注入可能であり、このフィールドは適切にエスケープされずに埋め込まれます。注入はconst enumの生成時に発生し、生成されたスキーマファイル内で実行可能なコードを引き起こすことが確認されています。この問題は7.19.0および8.0.2のバージョンで修正されました。

Orval

• Orval 7.19.0 未満
• Orval 8.0.0 以上 8.0.2 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub Advisory Database : Code injection via unsanitized x-enum-descriptions in enum generation  Advisory  orval-labs/orval  GitHub

1. コマンドインジェクション(CWE-77) [その他]
2. コード・インジェクション(CWE-94) [NVD評価]

1. CVE-2026-23947

1. National Vulnerability Database (NVD) : CVE-2026-23947
2. 関連文書 : Release Release v8.0.2  orval-labs/orval  GitHub

• [2026年03月02日]
    掲載