CVE-2021-37694

Versões do @asyncapi/java-spring-cloud-stream-template anteriores à 0.7.0

A vulnerabilidade permite a injeção de código arbitrário quando um invasor controla o documento AsyncAPI. Isso pode ser feito através da manipulação do campo operationId no documento AsyncAPI, o que pode levar à injeção de código malicioso. Por exemplo, um invasor pode modificar o operationId para incluir código Java malicioso, como test() { System.out.println(“injected”); return test(0); }, que pode ser executado quando o microsserviço é gerado. O esquema components/schemas/CustomClass também pode ser usado para injetar código malicioso.

Para versões anteriores à 0.7.0, atualize para a versão 0.7.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao documento AsyncAPI para impedir que invasores o controlem. Além disso, evite usar o campo operationId para executar código controlado pelo usuário.