Plateforme
other
Composant
openapi-generator
Corrigé dans
7.6.1
La vulnérabilité CVE-2024-35219 concerne une faille d'accès arbitraire de fichiers dans OpenAPI Generator, un outil permettant de générer automatiquement des bibliothèques clientes d'API, des serveurs, de la documentation et des configurations à partir d'une spécification OpenAPI. Cette faille permet à un attaquant de lire et de supprimer des fichiers à partir d'un répertoire arbitraire. Elle affecte les versions d'OpenAPI Generator inférieures ou égales à 7.6.0 et a été corrigée dans la version 7.6.0.
Un attaquant peut exploiter cette vulnérabilité en manipulant l'option outputFolder lors de la génération de l'API. Cela lui permet de spécifier un répertoire sur le système de fichiers où OpenAPI Generator écrira les fichiers générés. Si l'attaquant peut écrire dans ce répertoire, il peut potentiellement lire et supprimer des fichiers sensibles, compromettant ainsi la confidentialité et l'intégrité du système. L'impact est amplifié si le répertoire cible contient des informations d'identification, des clés de chiffrement ou d'autres données sensibles. Bien que la vulnérabilité ne permette pas une exécution de code à distance directe, elle peut servir de point d'entrée pour d'autres attaques, notamment en permettant à un attaquant de modifier des fichiers de configuration ou de compromettre des données sensibles stockées sur le système.
La vulnérabilité a été rendue publique le 27 mai 2024. Il n'y a pas d'indication d'une exploitation active à l'heure actuelle, mais la simplicité de l'exploitation et la large utilisation d'OpenAPI Generator suggèrent qu'elle pourrait être ciblée. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA. Des preuves de concept publiques sont susceptibles d'émerger rapidement.
Organizations and developers utilizing OpenAPI Generator for API generation, particularly those using versions prior to 7.6.0, are at risk. This includes teams relying on automated API client generation pipelines and those who have configured OpenAPI Generator to write output to user-controlled directories.
disclosure
Statut de l'Exploit
EPSS
52.28% (percentile 98%)
CISA SSVC
Vecteur CVSS
La correction principale consiste à mettre à niveau OpenAPI Generator vers la version 7.6.0 ou supérieure. Étant donné qu'aucune solution de contournement n'est disponible, la mise à niveau est cruciale. Si la mise à niveau vers la version 7.6.0 est impossible en raison de problèmes de compatibilité, il est fortement recommandé de restreindre l'accès au répertoire où OpenAPI Generator génère les fichiers. Il est également conseillé de surveiller les journaux d'accès pour détecter toute tentative d'exploitation de cette vulnérabilité. Après la mise à niveau, vérifiez que l'option outputFolder n'est plus utilisée et que les fichiers générés sont écrits dans un répertoire sécurisé.
Actualice OpenAPI Generator a la versión 7.6.0 o superior. Esta versión corrige la vulnerabilidad de path traversal al eliminar la opción `outputFolder`. No hay workarounds disponibles, por lo que la actualización es la única solución.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-35219 is a HIGH severity vulnerability in OpenAPI Generator versions ≤ 7.6.0 that allows attackers to read and delete files by manipulating the outputFolder option.
Yes, if you are using OpenAPI Generator version 7.6.0 or earlier, you are affected by this vulnerability.
Upgrade to OpenAPI Generator version 7.6.0 or later to remediate the vulnerability. No workarounds are available.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants prompt remediation.
Refer to the OpenAPI Generator project's official channels and security advisories for the latest information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.