Quarkus OpenAPI Generator असुरक्षा: CVE-2026-40180 – पथ पारगमन

CVE-2026-40180 Quarkus OpenAPI Generator के 2.16.0 से पहले और 2.15.0-lts से पहले के संस्करणों को प्रभावित करता है। यह एक पथ पारगमन सुरक्षा भेद्यता है। ApicurioCodegenWrapper.java घटक में unzip() विधि ZIP फ़ाइल से निकाले गए फ़ाइल पथों को पर्याप्त रूप से मान्य नहीं करती है। यह एक हमलावर को पथ पारगमन अनुक्रम (जैसे '..') युक्त फ़ाइल नामों के साथ दुर्भावनापूर्ण ZIP फ़ाइल बनाकर इच्छित आउटपुट निर्देशिका के बाहर फ़ाइलों को लिखने की अनुमति देता है। एक हमलावर सिस्टम पर संवेदनशील फ़ाइलों को ओवरराइट कर सकता है, जिससे Quarkus एप्लिकेशन की गोपनीयता और अखंडता से समझौता हो सकता है।

Development teams using Quarkus OpenAPI Generator to automate code generation are at risk. Specifically, those using versions prior to 2.16.0 and relying on external or untrusted ZIP archives for code generation are particularly vulnerable. Shared hosting environments where multiple users can potentially influence the generated code are also at increased risk.

• java / server:

find /path/to/quarkus/output -name 'malicious.java' -print

• generic web:

curl -I http://your-quarkus-app/ | grep 'Content-Type:'

1. 2026-04-10Disclosure

   disclosure

1. आरक्षित2026-04-09
2. प्रकाशित2026-04-10
3. संशोधित2026-04-13
4. EPSS अद्यतन2026-04-18

इस भेद्यता को कम करने का समाधान Quarkus OpenAPI Generator को संस्करण 2.16.0 या उच्चतर में अपग्रेड करना है। इस संस्करण में निकाले गए फ़ाइल पथों का उचित सत्यापन शामिल है, जो फ़ाइलों को लक्ष्य निर्देशिका के बाहर लिखने से रोकता है। अपने Quarkus अनुप्रयोगों की सुरक्षा के लिए इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, Quarkus द्वारा उपयोग किए जाने वाले OpenAPI फ़ाइलों के स्रोतों की समीक्षा करें, यह सुनिश्चित करें कि वे विश्वसनीय स्रोतों से हैं ताकि दुर्भावनापूर्ण ZIP फ़ाइलों को पेश करने से रोका जा सके। आउटपुट निर्देशिका पर सख्त एक्सेस नियंत्रण लागू करना भी संभावित शोषण के प्रभाव को कम करने में मदद कर सकता है।