Wing328

**Nome do software vulnerável e versões afetadas** Versões do openapi-generator-online anteriores à 5.1.0 **Descrição** A ferramenta openapi-generator-online cria pastas temporárias inseguras durante o processo de geração de código, permitindo que qualquer usuário no sistema leia e acrescente dados aos arquivos gerados automaticamente. Esse problema pode levar à escalada de privilégios locais, pois um invasor pode observar a criação de um subdiretório temporário e correr para concluir sua criação, potencialmente executando código controlado pelo invasor. A vulnerabilidade existe devido a uma condição de corrida entre a exclusão de um arquivo temporário gerado aleatoriamente e a criação do diretório temporário. **Recomendações** Para versões anteriores à 5.1.0, atualize para a versão estável v5.1.0, que corrige o problema usando `Files.createTempFile` em vez de `File.createTempFile`. Como solução temporária, considere restringir o acesso ao diretório temporário para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do OpenAPI Generator anteriores à 5.1.0 **Descrição** O problema decorre do uso do método `File.createTempFile` do JDK, que cria arquivos temporários inseguros, podendo deixar os dados da aplicação e do sistema vulneráveis a ataques. O código gerado automaticamente em Java e Scala que lida com o upload ou download de dados binários por meio de endpoints de API criará esses arquivos temporários inseguros durante o processo. Por exemplo, se um endpoint de API retornar um arquivo PDF, os clientes gerados automaticamente farão primeiro o download do PDF para um arquivo temporário inseguro que pode ser lido por qualquer pessoa no sistema. **Recomendações** Para versões anteriores à 5.1.0, atualize para a versão estável v5.1.0, que corrige o problema alterando o código gerado para usar o método JDK `Files.createTempFile`. Como solução alternativa temporária, considere restringir o acesso aos arquivos temporários criados pelo código gerado automaticamente para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do OpenAPI Generator anteriores à 5.1.0 **Descrição** O problema decorre do uso de `File.createTempFile` no JDK, resultando na criação de arquivos temporários inseguros. Isso pode deixar os dados da aplicação e do sistema vulneráveis a ataques, afetando especificamente sistemas do tipo Unix, nos quais o diretório temporário do sistema local é compartilhado entre todos os usuários. O plug-in Maven do OpenAPI Generator cria esses arquivos temporários inseguros durante o processo de geração de código para armazenar arquivos de especificação OpenAPI, potencialmente divulgando o conteúdo do arquivo de especificação a outros usuários locais. **Recomendações** Para versões anteriores à 5.1.0, atualize para a versão estável v5.1.0, que corrige o problema com `File.createTempFile`.

**Name of the Vulnerable Software and Affected Versions** OpenAPI Generator versions prior to 4.0.0-20190419.052012-560 **Description** The issue concerns the use of insecure http:// URLs in various build files, potentially leading to insecurely resolved dependencies. **Recommendations** For versions prior to 4.0.0-20190419.052012-560, update to version 4.0.0-20190419.052012-560 or later to resolve the issue.