| タイトル | Quarkiverse HubのQuarkus OpenAPI Generatorにおけるパストラバーサルの脆弱性 |
|---|---|
| 概要 | Quarkus OpenAPI Generatorは、Restクライアントとサーバースタブを生成するためのQuarkusの拡張機能です。2.16.0および2.15.0-lts以前のバージョンでは、ApicurioCodegenWrapper.javaのunzip()メソッドが、解決されたファイルパスが意図した出力ディレクトリ内に留まるかどうかを検証せずにZIPエントリを展開していました。101行目では、出力先がnew File(toOutputDir, entry.getName())として構築され、その内容が即座に書き込まれていました。パス・トラバーサルのシーケンス(例:../../malicious.java)を含む悪意のあるZIPアーカイブは、ターゲットディレクトリ外にファイルを書き込んでしまう可能性があります。この脆弱性は2.16.0および2.15.0-ltsで修正されています。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月10日0:00 |
| 登録日 | 2026年5月25日10:25 |
| 最終更新日 | 2026年5月25日10:25 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
| Quarkiverse Hub |
| Quarkus OpenAPI Generator 2.15.0 |
| Quarkus OpenAPI Generator 2.15.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月25日] 掲載 |
2026年5月25日10:25 |
| 概要 | Quarkus OpenAPI Generator is Quarkus' extensions for generation of Rest Clients and server stubs generation. Prior to 2.16.0 and 2.15.0-lts, the unzip() method in ApicurioCodegenWrapper.java extracts ZIP entries without validating that the resolved file path stays within the intended output directory. At line 101, the destination is constructed as new File(toOutputDir, entry.getName()) and the content is written immediately. A malicious ZIP archive containing entries with path traversal sequences (e.g., ../../malicious.java) would write files outside the target directory. This vulnerability is fixed in 2.16.0 and 2.15.0-lts. |
|---|---|
| 公表日 | 2026年4月11日5:16 |
| 登録日 | 2026年4月15日11:37 |
| 最終更新日 | 2026年4月14日6:16 |