2024年5月27日,网上公开披露了一个OpenAPITools openapi-generator拒绝服务漏洞(CVE-2024-35219),OpenAPI Generator Online 是基于 OpenAPI 规范的代码生成器服务,旨在帮助开发人员生成客户端 SDK、服务器端代码、API 文档等,请各位用户尽快安装漏洞补丁。
漏洞风险:受影响版本中,由于 Generator 类未对用户可控的输出目录参数 outputFolder 进行过滤,攻击者可在请求代码生成Api(如: api/gen/clients/)时传入恶意的outputFolder参数将生成的代码文件保存至目标系统中可访问的任意目录,当攻击者下载生成的代码文件时将清空用户指定目录中的文件,可导致系统敏感文件被删除。
风险等级:高风险。
影响范围:
3.0.0<=org.openapitools:openapi-generator-online<7.5.0
修复建议:
将组件 org.openapitools:openapi-generator-online 升级至 7.6.0 及以上版本
进行安全更新方法:
https://github.com/OpenAPITools/openapi-generator/releases/tag/v7.6.0
