CVE-2022-41954

Versões do MPXJ anteriores à 10.14.1

O MPXJ é uma biblioteca de código aberto para ler e gravar planos de projeto a partir de diversos formatos de arquivo e bancos de dados. Em sistemas operacionais do tipo Unix, o uso do File.createTempFile(..) pelo MPXJ resulta na criação de arquivos temporários com as permissões -rw-r--r--. Isso significa que qualquer outro usuário no sistema pode ler o conteúdo desse arquivo. Quando o MPXJ está lendo um arquivo de programação que requer a criação de um arquivo ou diretório temporário, um usuário local experiente poderia localizar esses arquivos transitórios enquanto eles estão em uso e, assim, seria capaz de ler a programação que está sendo processada pelo MPXJ.

Para versões anteriores à 10.14.1, atualize para a versão 10.14.1 do MPXJ ou posterior para resolver o problema.

Como solução temporária para usuários que não podem atualizar, defina java.io.tmpdir como um diretório ao qual apenas o usuário que está executando o aplicativo tenha acesso, para impedir que outros usuários acessem esses arquivos temporários.