文章总结： Orval8.0.2以下版本因未转义x-enum-descriptions字段，导致攻击者可在生成的TypeScript客户端内注入任意代码并在用户环境执行，CVSS9.3，影响月下载200万次的供应链，建议立即升级至8.0.2。 综合评分： 92 文章分类： 供应链安全,漏洞预警,安全工具,WEB安全,代码审计

供应链警报：Orval 中存在严重代码注入缺陷 (CVSS 9.3)。

sec随谈 sec随谈

sec随谈

2026年1月22日 08:51 北京

依赖 orval 从 OpenAPI 规范生成类型安全客户端的开发者被敦促立即更新，因为 orval 被发现存在一个严重的代码注入漏洞。该漏洞编号为 CVE-2026-23947，CVSS 评分高达 9.3，威胁着数百万个项目的软件供应链。

Orval 是 JavaScript 生态系统中的重量级工具。这款 npm 包每月下载量超过 200 万次，是团队自动化创建 TypeScript 客户端的必备工具。

该漏洞在于 Orval 处理 OpenAPI 规范中特定字段的方式。攻击者可以利用不受信任的规范，将恶意代码直接注入生成的客户端文件中。

根据安全公告，该问题根源在于 x-enum-descriptions 字段。“该漏洞允许不受信任的 OpenAPI 规范通过 x-enum Descriptions 字段将任意 TypeScript/JavaScript 代码注入到生成的客户端中，而该字段在 getEnumImplementation() 中嵌入时未进行正确的转义。”

本质上，如果开发者使用恶意或被篡改的 API 规范生成客户端，生成的代码（尽管通常被认为是安全的）可能包含隐藏的有效载荷。该安全公告确认，“注入发生在常量枚举生成过程中，并导致生成的模式文件中包含可执行代码”。

有趣的是，这并非该特定模式首次引发问题。报告指出，“此问题与近期已修复的 MCP 漏洞 (CVE-2026-22785) 性质类似，但影响的是 @orval/core 中另一条未被该漏洞修复的代码路径”。

此漏洞的后果十分严重。成功利用会导致“在使用已生成客户端的环境中执行任意代码”。这意味着恶意代码并非在托管 API 的服务器上执行，而是在集成该已生成客户端的开发者或用户的应用程序中执行。

维护人员已发布补丁程序来修复此注入漏洞。使用该工具的开发人员应立即升级到 Orval 8.0.2，以确保其生成的客户端安全无虞。

参考链接：

https://github.com/orval-labs/orval/security/advisories/GHSA-h526-wf6g-67jv

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《供应链警报：Orval 中存在严重代码注入缺陷 (CVSS 9.3)。》