प्लेटफ़ॉर्म
java
घटक
org.openapitools:openapi-generator-online
में ठीक किया गया
5.1.1
5.1.0
CVE-2021-21428 org.openapitools:openapi-generator-online में एक स्थानीय विशेषाधिकार वृद्धि (LPE) भेद्यता है। इस भेद्यता के कारण, एक हमलावर अस्थायी फ़ाइलों को नियंत्रित कर सकता है, जिससे सिस्टम पर उच्च विशेषाधिकार प्राप्त हो सकते हैं। यह भेद्यता org.openapitools:openapi-generator-online के संस्करण 5.0.1 से कम या उसके बराबर को प्रभावित करती है। संस्करण 5.1.0 में इस समस्या का समाधान किया गया है।
यह भेद्यता एक हमलावर को अस्थायी फ़ाइलों को नियंत्रित करने की अनुमति देती है, जो तब दुर्भावनापूर्ण कोड निष्पादित करने के लिए उपयोग किया जा सकता है। चूंकि यूनिक्स जैसे सिस्टम पर अस्थायी निर्देशिका सभी उपयोगकर्ताओं द्वारा साझा की जाती है, इसलिए एक सह-स्थित उपयोगकर्ता अस्थायी सबडायरेक्टरी बनाने की प्रक्रिया का निरीक्षण करने और अस्थायी सबडायरेक्टरी के निर्माण को पूरा करने के लिए दौड़ सकता है। यह हमलावर को कोड लिखने की अनुमति देता है जिसे बाद में निष्पादित किया जा सकता है, जिससे विशेषाधिकारों में वृद्धि हो सकती है। इस भेद्यता का शोषण करने के लिए, हमलावर को पहले लक्षित सिस्टम तक पहुंच प्राप्त करने की आवश्यकता होगी। फिर, वे अस्थायी फ़ाइलों को नियंत्रित करने के लिए भेद्यता का फायदा उठा सकते हैं और दुर्भावनापूर्ण कोड निष्पादित कर सकते हैं।
CVE-2021-21428 को अभी तक CISA KEV सूची में शामिल नहीं किया गया है। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इसके शोषण की संभावना को इंगित करता है। NVD को 2021-05-11 को प्रकाशित किया गया था। सक्रिय अभियान की जानकारी अभी तक उपलब्ध नहीं है।
Systems running OpenAPI Generator Online version 5.0.1 or earlier are at risk. This includes development environments, CI/CD pipelines that utilize OpenAPI Generator Online, and shared hosting environments where multiple users share the same temporary directory. Organizations using OpenAPI Generator Online to automatically generate API client code are particularly vulnerable.
• linux / server:
find /tmp -type f -mmin -5 -print0 | xargs -0 ls -l | grep -i 'openapi-generator'• linux / server:
journalctl -f | grep "createTempFile"• linux / server:
lsof /tmp | grep openapi-generatordisclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CVSS वेक्टर
CVE-2021-21428 को कम करने के लिए, org.openapitools:openapi-generator-online को संस्करण 5.1.0 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, अस्थायी फ़ाइलों के लिए उपयोग किए जाने वाले निर्देशिका की अनुमतियों को सीमित करने पर विचार करें। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके अस्थायी फ़ाइलों तक पहुंच को सीमित किया जा सकता है। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, अस्थायी फ़ाइलें बनाने और निष्पादित करने का प्रयास करके।
OpenAPI Generator के संस्करण को 5.1.0 या उच्चतर में अपडेट करें। यह संस्करण असुरक्षित अनुमतियों वाले निर्देशिकाओं में अस्थायी फ़ाइलों के निर्माण को ठीक करता है, संभावित सुरक्षा कमजोरियों से बचाता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2021-21428 org.openapitools:openapi-generator-online में एक भेद्यता है जो हमलावरों को अस्थायी फ़ाइलों को नियंत्रित करने और विशेषाधिकार बढ़ाने की अनुमति देती है।
यदि आप org.openapitools:openapi-generator-online के संस्करण 5.0.1 से कम या उसके बराबर का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
org.openapitools:openapi-generator-online को संस्करण 5.1.0 या बाद के संस्करण में अपग्रेड करें।
इस भेद्यता के लिए सार्वजनिक PoC मौजूद हैं, जो इसके शोषण की संभावना को इंगित करता है।
अधिक जानकारी के लिए org.openapitools की वेबसाइट देखें या NVD प्रविष्टि देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी pom.xml फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।