CVE-2020-7599

Versões do com.gradle.plugin-publish anteriores à 0.11.0

A vulnerabilidade permite a inserção de informações confidenciais em arquivos de log. Quando um autor de plugin publica um plugin Gradle enquanto executa o Gradle com o sinalizador de nível de log --info, o Gradle Logger registra uma URL pré-assinada da AWS. Se esse log de compilação for visível publicamente, como ocorre em muitos sistemas de CI públicos populares, como o TravisCI, essa URL pré-assinada da AWS permitiria que um agente mal-intencionado substituísse um plugin recém-carregado pelo seu próprio.

Para versões anteriores à 0.11.0, atualize para a versão 0.11.0 ou posterior para resolver o problema. Como solução alternativa temporária, considere evitar o uso do sinalizador de nível de log --info ao publicar plug-ins do Gradle para minimizar o risco de exploração. Restrinja o acesso aos logs de compilação para impedir que URLs pré-assinadas da AWS fiquem visíveis publicamente.