文章总结： Orval工具曝出严重漏洞CVE-2026-25141，CVSS评分9.3。攻击者可利用OpenAPI枚举描述字段注入恶意代码，因清理不当导致注释闭合从而执行任意脚本。该漏洞绕过了此前补丁，影响7.19.0+版本。建议开发者立即升级至7.21.0或8.2.0修复风险。 综合评分： 88 文章分类： 漏洞分析,漏洞预警,安全开发,WEB安全,代码审计

恶意评论：严重 Orval 漏洞 (CVE-2026-25141) 注入代码

sec随谈 sec随谈

sec随谈

2026年2月4日 08:44 北京

Orval 是一款流行的开发者工具，用于根据 OpenAPI 规范生成类型安全的 TypeScript 客户端。该漏洞已被发现存在严重缺陷，编号为 CVE-2026-25141，严重级别为 9.3，它通过看似无害的机制——软件注释——使数百万个项目面临代码注入攻击的风险。

Orval 是现代 Web 开发技术栈中的必备工具，每月下载量超过 280 万次。它通过读取 YAML 或 JSON 格式的 OpenAPI（以前称为 Swagger）定义文件，自动完成创建 API 客户端的繁琐过程。然而，安全研究人员发现，这种自动化功能可能被恶意利用。

漏洞在于 Orval 处理 \_\_name\_\_ 字段的方式——x-enum-descriptions该字段在 OpenAPI 规范中用于描述枚举值。在生成 TypeScript 代码时，Orval 会将这些描述嵌入为 JavaScript 注释，以帮助开发者理解代码。

根据安全公告，问题在于未能对这些输入进行适当的清理：

“虽然当前的 jsStringEscape 函数可以正确处理单引号 (‘)、双引号 (“) 和其他字符，但它无法处理 * 和 / 字符。”

这种疏忽使得攻击者能够编写恶意的 OpenAPI 规范。通过在描述字段中插入特定序列*/，他们可以提前关闭注释块。一旦注释关闭，编译器会将后续任何文本解释为可执行的 JavaScript 或 TypeScript 代码。

这并非Orval首次遭遇此类威胁。该安全公告指出，CVE-2026-25141实际上是对之前针对CVE-2026-23947的补丁的绕过，而之前的补丁修复并不完整。

这意味着，即使开发者认为更新后就安全了，如果他们运行的是 7.19.0 或更高版本，他们仍然可能面临安全风险。

此漏洞的影响非常严重。如果攻击者能够诱使开发者使用恶意或被篡改的 OpenAPI 规范生成客户端，他们就可以将任意代码注入受害者的应用程序中。这段代码将以与应用程序相同的权限运行，有可能窃取环境变量、API 密钥或用户数据。

维护者已发布补丁程序来解决此严重缺陷。强烈建议使用 Orval 的开发人员立即升级到已修复的版本：

• 7.21.0
• 8.2.0

鉴于该软件包的流行程度和易受攻击性，安全团队应优先审核其开发流程，以确保不再使用存在漏洞的版本。

参考链接：

https://github.com/orval-labs/orval/security/advisories/GHSA-gch2-phqh-fg9q

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《恶意评论：严重 Orval 漏洞 (CVE-2026-25141) 注入代码》