当前位置：首页 > news >正文

＜span class=“js_title_inner“＞Orval 中存在严重的代码注入漏洞，存在供应链安全风险＜/span＞

news 2026/5/12 1:24:19

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

JavaScript的重要 npm 包 Orval 中存在一个严重的代码注入漏洞CVE-2026-23947（CVSS评分9.3），威胁数百万项目的软件供应链安全。依赖Orval从OpenAPI规范生成类型安全客户端的开发者应立即更新。

Orval的每月下载量超过200万次，是团队自动化创建TypeScript客户端的必备工具。该漏洞存在于Orval处理OpenAPI规范中特定字段的方式。攻击者可利用不受信任的规范，将恶意代码直接注入生成的客户端文件中。

安全公告提到，该漏洞的根源在于“x-enum-descriptions”字段，“该漏洞可导致不受信任的OpenAPI规范通过 x-enum-descriptions 字段将任意TypeScript/JavaScript代码注入生成的客户端中，而该字段在getEnumImplementation() 函数中未经适当转义就被嵌入。”

本质上，如果开发者从一个恶意或被篡改的API规范生成客户端，那么生成的代码中可能包含一个隐藏的有效负载。安全公告确认，“注入发生在常量枚举生成期间，导致生成的模式文件中包含可执行代码。”

值得注意的是，这并非该特定模式首次引发问题。报告指出，“该问题本质上与最近修补的MCP漏洞（CVE-2026-22785）类似，但影响了 @orval/core中一个不同的代码路径，而该路径未在上次修复中得到处理。”

该漏洞的可造成严重后果。成功利用该漏洞会导致"在消费生成客户端的环境中执行任意代码"。这意味着恶意代码并非在托管API的服务器上执行，而是在集成该生成客户端的开发者或用户的应用内部执行。

维护者已发布补丁修复该漏洞。开发者用户应立即升级至Orval 8.0.2版本，以确保所生成客户端的安全。

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

得不到就毁掉：第二轮Sha1-Hulud供应链攻击已发起，影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击