关键信息 漏洞ID: CVE-2019-11405 CVE基础分数: 8.1/10 相关CWE: - CWE-829: 包括来自不受信任控制范围的功能 - CWE-494: 无完整性检查即下载代码 受影响的系统: OpenAPI Generator 项目生成器在某些情况下使用HTTP来解析依赖性。 风险说明: - 可能被中间人(MITM)攻击来破坏和感染构建工件。 - 如果受感染的JAR或其他依赖项被利用,使用该问题生成项目的开发人员可能会继续受到影响。 - 提供了多个示范性攻击实例链接,表明该问题并非仅是理论上的威胁。 修复行动: PR #2248 建议更新URL至HTTPS,但需注意Java 6可能无法与Maven中央要求的某些TLS算法兼容,这可能使得更新存在疑难。 漏洞描述和影响: OpenAPI Tools OpenAPI Generator在4.0.0版之前可能在各种build.gradle、build.gradle.mustache和build.sbt文件中使用了HTTP URL,导致依赖项解析不安全。 CVE发放状态: 已发放CVE编号。 问题关闭状态: 已关闭并确认修复,CVE描述更新中可能需要突出该问题如何影响下游用户,尤其是可能如何影响使用此项目生成代码并可能受到攻击的用户。 公开漏洞公告: 建议项目维护者向CVE提供者提交CVE编号以公开告知公众。如果与某个协调漏洞披露(CNA)有关联,鼓励向其提交该问题,否则应向iwantacve.org提交。