Vulnerabilidad en Chrimle (CVE-2026-32735)

openapi-to-java-records-mustache-templates permite a los usuarios generar Java Records a partir de especificaciones OpenAPI. A partir de la versión 5.1.1 y antes de la versión 5.5.1, el archivo POM padre de este proyecto ('openapi-to-java-records-mustache-templates-parent'), que se utiliza para centralizar las configuraciones de plugins para múltiples módulos de pruebas unitarias, utiliza 'maven-dependency-plugin' para desempaquetar archivos '.mustache' arbitrarios del artefacto 'openapi-to-java-records-mustache-templates' (de la misma versión). Aunque este archivo POM padre no está destinado para uso externo, está publicado y podría ser utilizado por cualquiera, y no sigue las mejores prácticas de seguridad. El riesgo, es que si 'openapi-to-java-records-mustache-templates' fuera comprometido, y se incluyeran archivos '.mustache' maliciosos en el JAR/artefacto resultante, los usuarios desempaquetarían estos archivos automáticamente durante una actualización de dependencia. Esto se aborda en la versión v3.5.1 de 'openapi-to-java-records-mustache-templates-parent'. Se recomienda encarecidamente NO utilizar el POM padre para uso externo. El módulo 'openapi-to-java-records-mustache-templates' es el centro de este proyecto, y los módulos y configuraciones circundantes no están destinados para uso en producción. Estos solo existen con fines de prueba y mantenibilidad.