Plataforma
other
Componente
openapi-generator
Corregido en
7.6.1
OpenAPI Generator es una herramienta que automatiza la generación de bibliotecas de cliente de API (SDK), stubs de servidor, documentación y configuración a partir de una especificación OpenAPI. Una vulnerabilidad de recorrido de directorio en versiones anteriores a 7.6.0 permite a atacantes leer y eliminar archivos y carpetas de un directorio escribible arbitrario. La vulnerabilidad fue corregida en la versión 7.6.0 eliminando el uso de la opción outputFolder.
Esta vulnerabilidad de recorrido de directorio es significativa porque permite a un atacante, con acceso a la funcionalidad de generación de OpenAPI Generator, comprometer la integridad y confidencialidad de los archivos en el sistema. Un atacante podría leer información sensible, como claves de API, contraseñas o datos de configuración, o incluso eliminar archivos críticos, causando una denegación de servicio. La capacidad de escribir en directorios arbitrarios amplía el alcance del ataque, permitiendo potencialmente la ejecución de código malicioso si el atacante puede subir archivos ejecutables. Aunque no se han reportado casos de explotación pública, la facilidad de explotación y el potencial impacto hacen de esta vulnerabilidad una preocupación importante.
CVE-2024-35219 fue publicado el 27 de mayo de 2024. Actualmente no se encuentra en el KEV de CISA ni se han reportado campañas de explotación activas. Sin embargo, la naturaleza sencilla de la vulnerabilidad y la disponibilidad de la especificación OpenAPI la hacen susceptible a la explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles desarrollos.
Organizations and developers utilizing OpenAPI Generator for API generation, particularly those using versions prior to 7.6.0, are at risk. This includes teams relying on automated API client generation pipelines and those who have configured OpenAPI Generator to write output to user-controlled directories.
disclosure
Estado del Exploit
EPSS
52.28% (98% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-35219 es actualizar a la versión 7.6.0 o superior de OpenAPI Generator. Esta versión elimina la opción outputFolder que permitía la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la funcionalidad de generación de OpenAPI Generator a usuarios de confianza y monitorear los directorios de salida en busca de actividad sospechosa. No existen workarounds conocidos más allá de la actualización o la restricción de acceso. Después de la actualización, confirme que la opción outputFolder ya no está disponible y que la generación de código se realiza en el directorio esperado.
Actualice OpenAPI Generator a la versión 7.6.0 o superior. Esta versión corrige la vulnerabilidad de path traversal al eliminar la opción `outputFolder`. No hay workarounds disponibles, por lo que la actualización es la única solución.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-35219 is a HIGH severity vulnerability in OpenAPI Generator versions ≤ 7.6.0 that allows attackers to read and delete files by manipulating the outputFolder option.
Yes, if you are using OpenAPI Generator version 7.6.0 or earlier, you are affected by this vulnerability.
Upgrade to OpenAPI Generator version 7.6.0 or later to remediate the vulnerability. No workarounds are available.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants prompt remediation.
Refer to the OpenAPI Generator project's official channels and security advisories for the latest information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.