Plataforma
other
Componente
openapi-generator
Corrigido em
7.6.1
Uma vulnerabilidade de acesso arbitrário de arquivos foi descoberta no OpenAPI Generator, uma ferramenta para geração automática de bibliotecas de cliente de API, stubs de servidor, documentação e configuração a partir de uma especificação OpenAPI. Esta falha permite que atacantes leiam e excluam arquivos de diretórios arbitrários, comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade afeta versões do OpenAPI Generator anteriores à 7.6.0, e foi corrigida nesta versão.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante obtenha acesso não autorizado a arquivos e diretórios no sistema onde o OpenAPI Generator está sendo executado. Isso pode levar à divulgação de informações confidenciais, como chaves de API, senhas ou dados de configuração. Além disso, o atacante pode modificar ou excluir arquivos, causando interrupção do serviço ou até mesmo comprometimento completo do sistema. A capacidade de manipular arquivos arbitrariamente aumenta significativamente o potencial de dano, tornando esta vulnerabilidade uma preocupação séria para organizações que utilizam o OpenAPI Generator.
Esta vulnerabilidade foi publicada em 27 de maio de 2024. Não há evidências públicas de exploração ativa no momento da publicação. A vulnerabilidade não está listada no CISA KEV (Knowledge Base of Vulnerability Exploitations) até o momento. A ausência de um Proof of Concept (PoC) público não diminui a gravidade da vulnerabilidade, pois a exploração é relativamente simples.
Organizations and developers utilizing OpenAPI Generator for API generation, particularly those using versions prior to 7.6.0, are at risk. This includes teams relying on automated API client generation pipelines and those who have configured OpenAPI Generator to write output to user-controlled directories.
disclosure
Status do Exploit
EPSS
52.28% (percentil 98%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o OpenAPI Generator para a versão 7.6.0 ou superior, que corrige a falha. Como não há workarounds conhecidos, a atualização é a única forma de eliminar o risco. Em ambientes onde a atualização imediata não é possível, considere restringir o acesso à ferramenta OpenAPI Generator e monitorar de perto os logs de sistema em busca de atividades suspeitas. Implementar controles de acesso rigorosos ao diretório de saída pode ajudar a limitar o impacto potencial de uma exploração, mas não elimina o risco completamente.
Actualice OpenAPI Generator a la versión 7.6.0 o superior. Esta versión corrige la vulnerabilidad de path traversal al eliminar la opción `outputFolder`. No hay workarounds disponibles, por lo que la actualización es la única solución.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-35219 is a HIGH severity vulnerability in OpenAPI Generator versions ≤ 7.6.0 that allows attackers to read and delete files by manipulating the outputFolder option.
Yes, if you are using OpenAPI Generator version 7.6.0 or earlier, you are affected by this vulnerability.
Upgrade to OpenAPI Generator version 7.6.0 or later to remediate the vulnerability. No workarounds are available.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants prompt remediation.
Refer to the OpenAPI Generator project's official channels and security advisories for the latest information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.