OpenAPI Generator Online<7.6.0 存在路径遍历漏洞 (CVE-2024-35219)

漏洞类型 路径遍历 发现时间 2024-05-29 漏洞等级 高危
MPS编号 MPS-k3b4-cqrh CVE编号 CVE-2024-35219 漏洞影响广度

漏洞危害

OSCS 描述
OpenAPI Generator Online 是基于 OpenAPI 规范的代码生成器服务,旨在帮助开发人员生成客户端 SDK、服务器端代码、API 文档等。
受影响版本中,由于 Generator 类未对用户可控的输出目录参数 outputFolder 进行过滤,攻击者可在请求代码生成Api(如: api/gen/clients/)时传入恶意的outputFolder参数将生成的代码文件保存至目标系统中可访问的任意目录,当攻击者下载生成的代码文件时将清空用户指定目录中的文件,可导致系统敏感文件被删除。
参考链接:https://www.oscs1024.com/hd/MPS-k3b4-cqrh

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.openapitools:openapi-generator-online (-∞, 7.6.0) 升级 将组件 org.openapitools:openapi-generator-online 升级至 7.6.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-k3b4-cqrh

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-k3b4-cqrh

https://nvd.nist.gov/vuln/detail/CVE-2024-35219

https://github.com/OpenAPITools/openapi-generator/commit/edbb021aadae47dcfe690313ce5119faf77f800d

https://github.com/OpenAPITools/openapi-generator/security/advisories/GHSA-g3hr-p86p-593h

(0)
上一篇 2024年5月30日
下一篇 2024年5月30日

相关推荐

  • Mlflow Jinja2 模版注入漏洞 (CVE-2023-6940)

    漏洞类型 命令注入 发现时间 2023-12-20 漏洞等级 严重 MPS编号 MPS-qdjk-tr3g CVE编号 CVE-2023-6940 漏洞影响广度 漏洞危害 OSCS 描述 MLflow 是用于机器学习全生命周期管理的开源工具。 MLflow受影响版本中存在模版注入漏洞。在render_and_merge_yaml方法中,该函数用于渲染和合并基…

    2023年12月21日
    0
  • FFmpeg < n7.0 堆溢出漏洞 (CVE-2023-51794)

    漏洞类型 堆缓冲区溢出 发现时间 2024-04-28 漏洞等级 高危 MPS编号 MPS-akej-cx6f CVE编号 CVE-2023-51794 漏洞影响广度 一般 漏洞危害 OSCS 描述 FFmpeg 是开源的多媒体框架,支持音频和视频的录制、转换以及流处理,stereowiden filter是其中的音频过滤器,用于增强立体声音轨的空间感。 受…

    漏洞 2024年4月29日
    0
  • Zabbix Server Audit Log SQL注入导致RCE (CVE-2024-22120)

    漏洞类型 SQL注入 发现时间 2024-05-20 漏洞等级 严重 MPS编号 MPS-ytof-ah8v CVE编号 CVE-2024-22120 漏洞影响广度 漏洞危害 OSCS 描述 Zabbix 是开源的网络监控工具,用于监控网络服务、服务器和网络设备的性能和可用性。 受影响版本中,由于 audit.c 中的 zbx_auditlog_global…

    漏洞 2024年5月21日
    0
  • Apache Shiro FORM 重定向漏洞 (CVE-2023-46750)

    漏洞类型 跨站重定向 发现时间 2023-11-12 漏洞等级 低危 MPS编号 MPS-14×5-9n6b CVE编号 CVE-2023-46750 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache Shiro 是一个开源的Java安全框架,用于简化应用程序的身份验证、授权、加密和会话管理等安全相关的操作。 在受影响版本中,由于在FORM…

    2023年11月14日
    0
  • 腾讯QQ Windows版客户端1-click远程代码执行风险 (MPS-0z86-njh3) [有POC]

    漏洞类型 从非可信控制范围包含功能例程 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-0z86-njh3 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 QQ 是一个多平台即时通信软件。QQ Windows版客户端 9.7.15之前版本中存在逻辑设计缺陷,当消息中包含引用的文件时,直接点击即完成下载和打开操作,缺…

    2023年8月22日
    0