Platform
java
Component
quarkus-openapi-generator
Opgelost in
2.15.1
2.16.1
Quarkus OpenAPI Generator, een extensie van Quarkus voor het genereren van Rest Clients en server stubs, had een kwetsbaarheid waarbij ZIP-bestanden werden uitgepakt zonder te valideren of het uiteindelijke bestandspad binnen de beoogde uitvoermap bleef. Dit stelde aanvallers in staat om bestanden buiten de target directory te schrijven. Deze kwetsbaarheid is verholpen in versie 2.16.0.
CVE-2026-40180 in Quarkus OpenAPI Generator treft versies ouder dan 2.16.0 en 2.15.0-lts. Dit is een beveiligingslek van het type 'path traversal'. De ApicurioCodegenWrapper.java component, met name de 'unzip()' methode, valideert de bestandspaden die uit een ZIP-archief worden geëxtraheerd niet voldoende. Dit stelt een aanvaller in staat, door een kwaadaardig ZIP-archief te creëren met bestandsnamen die 'path traversal' sequenties (bijv. '..') bevatten, bestanden buiten de bedoelde uitvoermap te schrijven. Een aanvaller zou potentieel gevoelige bestanden op het systeem kunnen overschrijven, waardoor de integriteit en vertrouwelijkheid van de Quarkus applicatie in gevaar komt.
Een aanvaller zou dit beveiligingslek kunnen exploiteren door Quarkus OpenAPI Generator een kwaadaardig ZIP-archief te verstrekken tijdens het proces van het genereren van REST-clients of server-stubs. Het ZIP-archief zou entries bevatten met bestandsnamen die 'path traversal' sequenties bevatten, waardoor de aanvaller bestanden naar willekeurige locaties op het bestandssysteem kan schrijven. De waarschijnlijkheid van exploitatie hangt af van het vermogen van de aanvaller om het door Quarkus gebruikte OpenAPI-bestand te controleren en van de configuratie van de runtime-omgeving. De complexiteit van de exploitatie is relatief laag, aangezien het alleen de creatie van een kwaadaardig ZIP-archief vereist.
Development teams using Quarkus OpenAPI Generator to automate code generation are at risk. Specifically, those using versions prior to 2.16.0 and relying on external or untrusted ZIP archives for code generation are particularly vulnerable. Shared hosting environments where multiple users can potentially influence the generated code are also at increased risk.
• java / server:
find /path/to/quarkus/output -name 'malicious.java' -print• generic web:
curl -I http://your-quarkus-app/ | grep 'Content-Type:'disclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
De oplossing om dit beveiligingslek te mitigeren is om te upgraden naar versie 2.16.0 of hoger van Quarkus OpenAPI Generator. Deze versie bevat een correcte validatie van de geëxtraheerde bestandspaden, waardoor bestanden niet buiten de doelmap kunnen worden geschreven. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen om uw Quarkus applicaties te beschermen. Controleer bovendien de bronnen van de OpenAPI-bestanden die door Quarkus worden gebruikt, om ervoor te zorgen dat ze afkomstig zijn van vertrouwde bronnen om de introductie van kwaadaardige ZIP-archieven te voorkomen. Het implementeren van strikte toegangscontroles op de uitvoermap kan ook helpen om de impact van een mogelijke exploitatie te verminderen.
Actualice a la versión 2.16.0 o 2.15.0-lts de quarkus-openapi-generator para mitigar la vulnerabilidad de recorrido de directorios. Esta actualización corrige la validación de rutas al extraer archivos ZIP, evitando la escritura de archivos fuera del directorio de destino.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een 'path traversal' aanval stelt een aanvaller in staat om toegang te krijgen tot bestanden of mappen buiten de bedoelde map, door sequenties zoals '..' te gebruiken om de mapstructuur te doorlopen.
Versies ouder dan 2.16.0 en 2.15.0-lts zijn kwetsbaar voor dit beveiligingslek.
Controleer de versie van Quarkus OpenAPI Generator die u gebruikt. Als deze ouder is dan 2.16.0 of 2.15.0-lts, is uw applicatie kwetsbaar.
Als tijdelijke maatregel, beperk de toegang tot de uitvoermap van Quarkus OpenAPI Generator en controleer zorgvuldig de bronnen van de OpenAPI-bestanden.
Het wordt aanbevolen om de Quarkus release notes te raadplegen voor informatie over andere kwetsbaarheden en beveiligingsupdates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je pom.xml-bestand en we vertellen je direct of je getroffen bent.