Plataforma
java
Componente
org.openapitools:openapi-generator-online
Corrigido em
5.1.1
5.1.0
A vulnerabilidade CVE-2021-21428 é uma falha de escalada de privilégios presente na biblioteca openapi-generator-online, versões até 5.0.1. Um atacante local pode explorar essa falha para criar subdiretórios temporários inseguros, permitindo a execução de código malicioso. A correção foi disponibilizada na versão 5.1.0, e a aplicação de medidas de mitigação é recomendada para versões mais antigas.
A exploração bem-sucedida desta vulnerabilidade permite a um usuário local obter privilégios elevados no sistema. O atacante pode manipular a criação de arquivos temporários, inserindo código malicioso que será executado posteriormente. Devido ao compartilhamento do diretório temporário em sistemas Unix, a vulnerabilidade afeta todos os usuários do sistema, ampliando o potencial de dano. A capacidade de executar código arbitrário no contexto do processo openapi-generator-online representa um risco significativo para a confidencialidade, integridade e disponibilidade do sistema.
A vulnerabilidade CVE-2021-21428 foi divulgada publicamente em 11 de maio de 2021. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza da vulnerabilidade (escalada de privilégios local) a torna um alvo potencial para atacantes. A ausência de um KEV listing indica que a CISA ainda não considera essa vulnerabilidade como uma ameaça iminente, mas a alta pontuação CVSS (9.3) justifica a atenção e a aplicação de medidas de mitigação.
Systems running OpenAPI Generator Online version 5.0.1 or earlier are at risk. This includes development environments, CI/CD pipelines that utilize OpenAPI Generator Online, and shared hosting environments where multiple users share the same temporary directory. Organizations using OpenAPI Generator Online to automatically generate API client code are particularly vulnerable.
• linux / server:
find /tmp -type f -mmin -5 -print0 | xargs -0 ls -l | grep -i 'openapi-generator'• linux / server:
journalctl -f | grep "createTempFile"• linux / server:
lsof /tmp | grep openapi-generatordisclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
Vetor CVSS
A mitigação primária é a atualização para a versão 5.1.0 do openapi-generator-online, que corrige a vulnerabilidade. Em ambientes onde a atualização imediata não é possível, considere restringir o acesso ao diretório temporário utilizado pelo openapi-generator-online. Implemente controles de acesso rigorosos para impedir que usuários não autorizados modifiquem os arquivos temporários. Monitore o sistema em busca de atividades suspeitas relacionadas à criação e modificação de arquivos temporários. A aplicação de regras em um Web Application Firewall (WAF) pode ajudar a bloquear tentativas de exploração, embora não seja uma solução completa.
Atualize a versão do OpenAPI Generator para a 5.1.0 ou superior. Esta versão corrige a criação de arquivos temporários em diretórios com permissões inseguras, evitando possíveis vulnerabilidades de segurança.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2021-21428 is a critical vulnerability in OpenAPI Generator Online versions up to 5.0.1 that allows a local attacker to exploit a race condition during temporary file creation, leading to local privilege escalation.
If you are running OpenAPI Generator Online version 5.0.1 or earlier, you are affected by this vulnerability. Upgrade to version 5.1.0 or later to mitigate the risk.
The recommended fix is to upgrade to OpenAPI Generator Online version 5.1.0 or later. As a temporary workaround, restrict access to the temporary directory used by the application.
While no active exploitation campaigns have been definitively confirmed, the vulnerability's severity and ease of exploitation suggest a potential for future attacks.
Refer to the official OpenAPI Generator Online project repository and associated security advisories for detailed information and updates: [https://github.com/openapitools/openapi-generator-online](https://github.com/openapitools/openapi-generator-online)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.