HIGHCVE-2024-35219CVSS 8.3

OpenAPI Generator Online - Willekeurig Bestand Lezen/Verwijderen

Q: What is CVE-2024-35219 — Arbitrary File Access in OpenAPI Generator?

CVE-2024-35219 is a HIGH severity vulnerability in OpenAPI Generator versions ≤ 7.6.0 that allows attackers to read and delete files by manipulating the `outputFolder` option.

Q: Am I affected by CVE-2024-35219 in OpenAPI Generator?

Yes, if you are using OpenAPI Generator version 7.6.0 or earlier, you are affected by this vulnerability.

Q: How do I fix CVE-2024-35219 in OpenAPI Generator?

Upgrade to OpenAPI Generator version 7.6.0 or later to remediate the vulnerability. No workarounds are available.

Q: Is CVE-2024-35219 being actively exploited?

As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants prompt remediation.

Q: Where can I find the official OpenAPI Generator advisory for CVE-2024-35219?

Refer to the OpenAPI Generator project's official channels and security advisories for the latest information and updates.

Platform

other

Component

openapi-generator

Opgelost in

7.6.1

AI Confidence: highNVDEPSS 52.3%Beoordeeld: mei 2026

Bekijk op NVD

Opslaan

CVE-2024-35219 beschrijft een Arbitrary File Access kwetsbaarheid in OpenAPI Generator, een tool voor het genereren van API client libraries, server stubs en documentatie. Deze kwetsbaarheid stelt aanvallers in staat om bestanden te lezen en te verwijderen van een willekeurige, beschrijfbare directory. De kwetsbaarheid treft versies van OpenAPI Generator tot en met 7.6.0 en is verholpen in versie 7.6.0.

Impact en Aanvalsscenarios

Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden en directories op het systeem waar OpenAPI Generator draait. Aanvallers kunnen potentieel configuratiebestanden, broncode of andere kritieke gegevens stelen. Verder kunnen ze bestanden verwijderen, wat kan leiden tot systeeminstabiliteit of dataverlies. De impact is aanzienlijk, vooral in omgevingen waar OpenAPI Generator wordt gebruikt om API's te genereren voor gevoelige applicaties.

Uitbuitingscontext

Deze kwetsbaarheid is openbaar bekend gemaakt en er zijn geen meldingen van actieve exploitatie op dit moment. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. Er zijn geen publieke proof-of-concept exploits beschikbaar, maar de path traversal aard van de kwetsbaarheid maakt het relatief eenvoudig te exploiteren.

Wie Loopt Risicowordt vertaald…

Organizations and developers utilizing OpenAPI Generator for API generation, particularly those using versions prior to 7.6.0, are at risk. This includes teams relying on automated API client generation pipelines and those who have configured OpenAPI Generator to write output to user-controlled directories.

Aanvalstijdlijn

2024-05-27Disclosure
disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend

CISA KEVNO

InternetblootstellingHoog

Rapporten1 dreigingsrapport

EPSS

52.28% (98% percentiel)

CISA SSVC

Exploitatiepoc

Automatiseerbaarno

Technische Impactpartial

CVSS-vector

Getroffen Software

Componentopenapi-generator

LeverancierOpenAPITools

Getroffen bereikOpgelost in

< 7.6.0 – < 7.6.07.6.1

Zwakheidsclassificatie (CWE)

CWE-22

Tijdlijn

Gereserveerd2024-05-14
Gepubliceerd2024-05-27
Gewijzigd2024-08-02
EPSS bijgewerkt2026-04-02

Mitigatie en Workarounds

De primaire mitigatie is het upgraden naar versie 7.6.0 of hoger van OpenAPI Generator. Aangezien er geen bekende workarounds zijn, is het upgraden de enige effectieve manier om deze kwetsbaarheid te verhelpen. Controleer na de upgrade of de generatie van API's correct verloopt en of er geen onverwachte fouten optreden. Overweeg om de rechten van de gebruiker die OpenAPI Generator uitvoert te beperken om de impact van een eventuele exploitatie te minimaliseren.

Hoe te verhelpenwordt vertaald…

Actualice OpenAPI Generator a la versión 7.6.0 o superior. Esta versión corrige la vulnerabilidad de path traversal al eliminar la opción `outputFolder`. No hay workarounds disponibles, por lo que la actualización es la única solución.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragenwordt vertaald…

What is CVE-2024-35219 — Arbitrary File Access in OpenAPI Generator?

CVE-2024-35219 is a HIGH severity vulnerability in OpenAPI Generator versions ≤ 7.6.0 that allows attackers to read and delete files by manipulating the outputFolder option.

Am I affected by CVE-2024-35219 in OpenAPI Generator?

Yes, if you are using OpenAPI Generator version 7.6.0 or earlier, you are affected by this vulnerability.

How do I fix CVE-2024-35219 in OpenAPI Generator?

Upgrade to OpenAPI Generator version 7.6.0 or later to remediate the vulnerability. No workarounds are available.

Is CVE-2024-35219 being actively exploited?

As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants prompt remediation.

Where can I find the official OpenAPI Generator advisory for CVE-2024-35219?

Refer to the OpenAPI Generator project's official channels and security advisories for the latest information and updates.

NextGuard

Kwetsbaarheden

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen

CVEs zoeken

Wat betekenen deze metrics?

Attack Vector: Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity: Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required: Laag — elk geldig gebruikersaccount is voldoende.
User Interaction: Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope: Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality: Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity: Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability: Hoog — volledige crash of uitputting van resources. Totale denial of service.