CVE-2021-21428

Versões do openapi-generator-online anteriores à 5.1.0

A ferramenta openapi-generator-online cria pastas temporárias inseguras durante o processo de geração de código, permitindo que qualquer usuário no sistema leia e acrescente dados aos arquivos gerados automaticamente. Esse problema pode levar à escalada de privilégios locais, pois um invasor pode observar a criação de um subdiretório temporário e correr para concluir sua criação, potencialmente executando código controlado pelo invasor. A vulnerabilidade existe devido a uma condição de corrida entre a exclusão de um arquivo temporário gerado aleatoriamente e a criação do diretório temporário.

Para versões anteriores à 5.1.0, atualize para a versão estável v5.1.0, que corrige o problema usando Files.createTempFile em vez de File.createTempFile. Como solução temporária, considere restringir o acesso ao diretório temporário para minimizar o risco de exploração.