MEDIUMCVE-2026-40180

quarkus-openapi-generator ApicurioCodegenWrapper 类中的 Zip Slip 路径遍历

Q: CVE-2026-40180 是什么 — Quarkus OpenAPI Generator 中的 Path Traversal？

路径遍历攻击允许攻击者使用诸如 '..' 之类的序列来导航目录结构，从而访问预期目录之外的文件或目录。

Q: Quarkus OpenAPI Generator 中的 CVE-2026-40180 是否会影响我？

2.16.0 之前的版本和 2.15.0-lts 之前的版本容易受到此漏洞的攻击。

Q: 如何修复 Quarkus OpenAPI Generator 中的 CVE-2026-40180？

检查您使用的 Quarkus OpenAPI Generator 的版本。如果版本早于 2.16.0 或 2.15.0-lts，则您的应用程序容易受到攻击。

Q: CVE-2026-40180 是否正在被积极利用？

作为临时措施，请限制对 Quarkus OpenAPI Generator 的输出目录的访问，并仔细审查 OpenAPI 文件的来源。

Q: 在哪里可以找到 Quarkus OpenAPI Generator 关于 CVE-2026-40180 的官方安全通告？

建议查阅 Quarkus 发布说明，以获取有关其他漏洞和安全更新的信息。

平台

java

组件

quarkus-openapi-generator

修复版本

2.15.1

2.16.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

Quarkus OpenAPI Generator在生成Rest Clients和服务器端桩时存在一个路径遍历漏洞。在2.16.0和2.15.0-lts之前，unzip()方法在提取ZIP条目时未验证解析的文件路径是否仍然在预期的输出目录中。攻击者可以利用包含路径遍历序列（例如../…/malicious.java）的恶意ZIP文件，将文件写入目标目录之外。该漏洞已在2.16.0版本中修复。

影响与攻击场景

CVE-2026-40180 影响 Quarkus OpenAPI Generator 的 2.16.0 之前的版本和 2.15.0-lts 之前的版本。这是一种路径遍历安全漏洞。ApicurioCodegenWrapper.java 组件中的 unzip() 方法未充分验证从 ZIP 文件中提取的文件路径。这使得攻击者可以通过创建包含路径遍历序列（例如 '..'）的文件名的恶意 ZIP 文件，在预期的输出目录之外写入文件。攻击者可能能够覆盖系统上的敏感文件，从而损害 Quarkus 应用程序的机密性和完整性。

利用背景

攻击者可以通过在 REST 客户端或服务器桩生成过程中向 Quarkus OpenAPI Generator 提供恶意 ZIP 文件来利用此漏洞。ZIP 文件将包含包含路径遍历序列的文件名条目，从而允许攻击者将文件写入文件系统中的任意位置。利用的可能性取决于攻击者控制 Quarkus 使用的 OpenAPI 文件的能力以及运行时环境的配置。利用的复杂性相对较低，因为它只需要创建恶意 ZIP 文件。

哪些人处于风险中翻译中…

Development teams using Quarkus OpenAPI Generator to automate code generation are at risk. Specifically, those using versions prior to 2.16.0 and relying on external or untrusted ZIP archives for code generation are particularly vulnerable. Shared hosting environments where multiple users can potentially influence the generated code are also at increased risk.

检测步骤翻译中…

• java / server:

find /path/to/quarkus/output -name 'malicious.java' -print

• generic web:

curl -I http://your-quarkus-app/ | grep 'Content-Type:'

攻击时间线

2026-04-10Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

报告1 份威胁报告

EPSS

0.06% (18% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

受影响的软件

组件quarkus-openapi-generator

供应商quarkiverse

影响范围修复版本

< 2.15.0-lts – < 2.15.0-lts2.15.1

< 2.16.0 – < 2.16.02.16.1

弱点分类 (CWE)

CWE-22

时间线

已保留2026-04-09
发布日期2026-04-10
修改日期2026-04-13
EPSS 更新日期2026-04-18

缓解措施和替代方案

减轻此漏洞的解决方案是升级到 Quarkus OpenAPI Generator 的 2.16.0 或更高版本。此版本包含对提取的文件路径的适当验证，从而防止文件写入目标目录之外。建议尽快应用此更新以保护您的 Quarkus 应用程序。此外，请审查 Quarkus 使用的 OpenAPI 文件的来源，以确保它们来自可信来源，以防止引入恶意 ZIP 文件。实施对输出目录的严格访问控制也可以帮助减少潜在利用的影响。

修复方法翻译中…

Actualice a la versión 2.16.0 o 2.15.0-lts de quarkus-openapi-generator para mitigar la vulnerabilidad de recorrido de directorios. Esta actualización corrige la validación de rutas al extraer archivos ZIP, evitando la escritura de archivos fuera del directorio de destino.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-40180 是什么 — Quarkus OpenAPI Generator 中的 Path Traversal？