Plataforma
java
Componente
org.openapitools:openapi-generator-online
Corregido en
5.1.1
5.1.0
La vulnerabilidad CVE-2021-21428 es una escalada de privilegios local que afecta a la herramienta openapi-generator-online en versiones 5.0.1 y anteriores. Un atacante local puede aprovechar la creación de directorios temporales inseguros para ejecutar código malicioso. La vulnerabilidad fue publicada el 11 de mayo de 2021 y se ha solucionado en la versión 5.1.0.
Esta vulnerabilidad permite a un usuario local, en sistemas tipo Unix, observar el proceso de creación de un subdirectorio temporal compartido. El atacante puede entonces completar la creación del subdirectorio antes que el proceso legítimo, inyectando código malicioso en el directorio de salida. Dado que el directorio de salida puede ser modificado por el atacante, el código inyectado, al ser ejecutado, puede ser controlado por este. Esto resulta en una escalada de privilegios, permitiendo al atacante obtener acceso no autorizado al sistema. La naturaleza local de la vulnerabilidad limita su alcance, pero la severidad del impacto (ejecución de código arbitrario) la convierte en un riesgo significativo.
La vulnerabilidad CVE-2021-21428 no se encuentra en el KEV de CISA. La probabilidad de explotación se considera media, dado que requiere acceso local al sistema y un conocimiento de la vulnerabilidad. No se han reportado públicamente campañas de explotación activas a la fecha. La vulnerabilidad fue divulgada públicamente el 11 de mayo de 2021.
Systems running OpenAPI Generator Online version 5.0.1 or earlier are at risk. This includes development environments, CI/CD pipelines that utilize OpenAPI Generator Online, and shared hosting environments where multiple users share the same temporary directory. Organizations using OpenAPI Generator Online to automatically generate API client code are particularly vulnerable.
• linux / server:
find /tmp -type f -mmin -5 -print0 | xargs -0 ls -l | grep -i 'openapi-generator'• linux / server:
journalctl -f | grep "createTempFile"• linux / server:
lsof /tmp | grep openapi-generatordisclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
Vector CVSS
La solución principal es actualizar a la versión 5.1.0 de openapi-generator-online, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de mitigación. Estas pueden incluir restringir el acceso al directorio temporal compartido, implementar controles de integridad en los archivos generados y monitorear la creación de subdirectorios temporales. Además, se recomienda revisar la configuración del sistema para asegurar que los permisos de los archivos y directorios sean los más restrictivos posibles. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que los directorios temporales se crean de forma segura y que el código inyectado no se ejecuta.
Actualice la versión de OpenAPI Generator a la 5.1.0 o superior. Esta versión corrige la creación de archivos temporales en directorios con permisos inseguros, evitando posibles vulnerabilidades de seguridad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2021-21428 is a critical vulnerability in OpenAPI Generator Online versions up to 5.0.1 that allows a local attacker to exploit a race condition during temporary file creation, leading to local privilege escalation.
If you are running OpenAPI Generator Online version 5.0.1 or earlier, you are affected by this vulnerability. Upgrade to version 5.1.0 or later to mitigate the risk.
The recommended fix is to upgrade to OpenAPI Generator Online version 5.1.0 or later. As a temporary workaround, restrict access to the temporary directory used by the application.
While no active exploitation campaigns have been definitively confirmed, the vulnerability's severity and ease of exploitation suggest a potential for future attacks.
Refer to the official OpenAPI Generator Online project repository and associated security advisories for detailed information and updates: [https://github.com/openapitools/openapi-generator-online](https://github.com/openapitools/openapi-generator-online)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo pom.xml y te decimos al instante si estás afectado.