Oscerd

Name of the Vulnerable Software and Affected Versions Quarkus OpenAPI Generator versões anteriores a 2.16.0 e 2.15.0-lts Description O método `unzip()` em `ApicurioCodegenWrapper.java` não valida se o caminho do arquivo das entradas ZIP extraídas permanece dentro do diretório de saída pretendido. O caminho do arquivo de destino é construído usando `new File(toOutputDir, entry.getName())` sem validação adequada. Um arquivo ZIP malicioso contendo sequências de travessia de caminho (por exemplo, `../../malicious.java`) pode permitir a gravação de arquivos fora do diretório de destino. Isso pode levar à sobrescrita de arquivos de origem, à injeção de código malicioso ou à modificação de arquivos de configuração, potencialmente resultando em um comprometimento da cadeia de suprimentos. Recommendations Atualize para a versão 2.16.0 ou 2.15.0-lts.