PT-2024-32476 · Apache · Maven Archetype Plugin
Niels Basjes
·
Publicado
2024-09-26
·
Atualizado
2025-03-17
·
CVE-2024-47197
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Plugin Maven Archetype, versões 3.2.1 a 3.2.x
Plugin Maven Archetype, versões anteriores à 3.3.0
Descrição
O problema está relacionado à exposição de informações confidenciais a agentes não autorizados devido ao armazenamento inseguro dessas informações no Maven Archetype Plugin. Isso ocorre quando os testes de integração do archetype criam um arquivo chamado ./target/classes/archetype-it/archetype-settings.xml, que contém todo o conteúdo do arquivo ~/.m2/settings.xml do usuário, frequentemente incluindo credenciais. Se um desenvolvedor publicar esse arquivo no Maven Central ou em qualquer outro repositório remoto sem saber, suas credenciais serão publicadas.
Recomendações
Para as versões 3.2.1 a 3.2.x do Maven Archetype Plugin, atualize para a versão 3.3.0, que corrige o problema.
Para versões do Maven Archetype Plugin anteriores à 3.3.0, atualize para a versão 3.3.0, que corrige o problema.
Como solução temporária, considere executar
mvn clean antes de mvn verify para evitar incluir o arquivo confidencial no artefato final.Correção
Information Disclosure
Insecure Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Maven Archetype Plugin