Ljacomet

**Name of the Vulnerable Software and Affected Versions** Gradle versions prior to 9.3.0 **Description** Gradle, a build automation tool, has an issue where dependency resolution in versions before 9.3.0 does not treat certain exceptions as fatal errors. This allows Gradle to continue to subsequent repositories if an error occurs, potentially resolving dependencies from a malicious source after a legitimate repository is disrupted. Specifically, exceptions like `NoHttpResponseException` are not immediately fatal, and Gradle proceeds to the next repository after retries. This behavior could allow an attacker controlling a repository to serve malicious artifacts if a primary repository is unavailable. The issue is resolved by stopping the search for other repositories when encountering these errors. **Recommendations** Update to Gradle version 9.3.0 or later.

**Name of the Vulnerable Software and Affected Versions** Gradle versions prior to 9.3.0 **Description** Gradle’s native-platform tool, which provides Java bindings for native APIs, does not treat certain exceptions as fatal errors when resolving dependencies in versions before 9.3.0. This allows Gradle to continue to the next repository, potentially resolving dependencies from a different source. Specifically, an unresolvable host name does not halt the process, allowing an attacker to register a service under the build’s host name and serve malicious artifacts if the malicious repository is listed before others in the build configuration. **Recommendations** Update to Gradle version 9.3.0 or later.

**Name of the Vulnerable Software and Affected Versions** net.rubygrapefruit:native-platform versions prior to 0.22-milestone-28 Gradle version 8.12 **Description** The issue concerns a local privilege escalation vulnerability in the native-platform tool of Gradle, a build automation tool. On Unix-like systems, an attacker could quickly delete and recreate files in the system temporary directory, potentially leading to privilege escalation. This vulnerability affects Gradle builds that rely on versions of net.rubygrapefruit:native-platform prior to 0.22-milestone-28. The problem arises when the `Native.get(Class<>)` method is called without proper initialization using `Native.init(File)` first, causing the library to initialize itself using the system temporary directory. **Recommendations** For net.rubygrapefruit:native-platform versions prior to 0.22-milestone-28, ensure proper initialization using a safe location by calling `Native.init(File)` before `Native.get(Class<>)`. For Gradle version 8.12, upgrade to Gradle 8.12.1 or later, which fixes the issue. As a temporary workaround for Gradle 8.12 on Unix-like operating systems, set the "sticky" bit on the system temporary directory to prevent unauthorized file deletion. Alternatively, mount `/tmp` as `noexec` to prevent Gradle 8.12 from starting. For users unable to change system temporary directory permissions, move the Java temporary directory by setting the System Property `java.io.tmpdir` to a path with limited permissions.

**Name of the Vulnerable Software and Affected Versions** Gradle versions prior to 7.6.3 Gradle versions prior to 8.4 **Description** Gradle is a build tool with a focus on build automation and support for multi-language development. In some cases, when Gradle parses XML files, resolving XML external entities is not disabled. Combined with an Out Of Band XXE attack (OOB-XXE), just parsing XML can lead to exfiltration of local text files to a remote server. Gradle parses XML files for several purposes, including Ivy XML descriptors and Maven POM files that can be fetched from remote repositories. **Recommendations** For versions prior to 7.6.3, update to Gradle 7.6.3 or later to disable resolving XML external entities. For versions prior to 8.4, update to Gradle 8.4 or later to disable resolving XML external entities. As a temporary workaround, consider disabling the parsing of XML files that have XML external entities until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Gradle versions prior to 7.6.2 Gradle versions prior to 8.2 **Description** Gradle is a build tool with a focus on build automation and support for multi-language development. When Gradle writes a dependency into its dependency cache, it uses the dependency's coordinates to compute a file location. With specially crafted dependency coordinates, Gradle can be made to write files into an unintended location. The file may be written outside the dependency cache or over another file in the dependency cache. This issue could be used to poison the dependency cache or overwrite important files elsewhere on the filesystem where the Gradle process has write permissions. Exploiting this requires an attacker to have control over a dependency repository used by the Gradle build or have the ability to modify the build's configuration. It is unlikely that this would go unnoticed. **Recommendations** For Gradle versions prior to 7.6.2, upgrade to Gradle 7.6.2 or later. For Gradle versions prior to 8.2, upgrade to Gradle 8.2 or later. If you are unable to upgrade to Gradle 7.6.2 or 8.2, using `dependency verification` will make this issue more difficult to exploit.

**Nome do software vulnerável e versões afetadas** Versões do Gradle de 6.2 a 7.4.2 **Descrição** O Gradle é uma ferramenta de compilação que possui um recurso de segurança chamado verificação de dependências, o qual valida dependências externas por meio de checksum ou assinaturas criptográficas. Nas versões afetadas, há casos em que o Gradle pode ignorar a verificação e aceitar dependências não confiáveis. Isso pode ocorrer de duas maneiras: quando a verificação de assinatura está desativada, mas os metadados de verificação contêm elementos `gpg` sem elementos `checksum`, ou quando a verificação de assinatura está ativada, mas nenhum arquivo de assinatura é encontrado no repositório remoto. Os riscos para compilações vulneráveis incluem o download de binários maliciosos devido à apropriação indevida de nomes ou o download de bibliotecas maliciosas ao usar HTTP em vez de HTTPS. **Recomendações** Para as versões 6.2 a 7.4.2 do Gradle, considere atualizar para o Gradle 7.5, que corrige esse problema garantindo que a verificação de checksum seja executada caso a verificação de assinatura não possa ser concluída. Como solução alternativa temporária, remova todos os elementos `gpg` dos metadados de verificação de dependências se a validação de assinatura estiver desativada. Evite adicionar entradas `gpg` para dependências que não possuam arquivos de assinatura.

**Nome do software vulnerável e versões afetadas** Versões do Gradle anteriores à 7.4 **Descrição** O Gradle é uma ferramenta de compilação voltada para a automação de compilação e o suporte ao desenvolvimento em várias linguagens. Em alguns casos, o Gradle pode ignorar a verificação e aceitar uma dependência que, de outra forma, causaria a falha da compilação por ser considerada um artefato externo não confiável. Isso ocorre quando a verificação de dependências está desativada em uma ou mais configurações e essas configurações têm dependências em comum com outras configurações que têm a verificação de dependências ativada. Se a configuração com a verificação de dependências desativada for resolvida primeiro, o Gradle não verifica as dependências em comum para a configuração que tem a verificação de dependências ativada. O problema foi corrigido no Gradle 7.4, validadando os artefatos pelo menos uma vez se eles estiverem presentes em uma configuração resolvida que tenha a verificação de dependências ativa. **Recomendações** Para versões anteriores à 7.4, não use `ResolutionStrategy.disableDependencyVerification()` e não use plug-ins que utilizem esse método para desativar a verificação de dependências em uma única configuração. Como alternativa, certifique-se de que a resolução da configuração que desativa esse recurso não ocorra em compilações que resolvam configurações nas quais o recurso esteja ativado. No momento, não há informações sobre outras versões que contenham uma correção para esse problema.