PT-2021-18203 · Gradle · Gradle
Zacsweers
·
Publicado
2021-04-13
·
Atualizado
2024-03-06
·
CVE-2021-29427
CVSS v3.1
8.0
Alta
| Vetor | AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Gradle 5.1 a 6.x
Descrição:
O problema pode levar à divulgação de informações e/ou ao envenenamento de dependências, pois o Gradle ignora os filtros de conteúdo e pesquisa dependências em todos os repositórios quando a filtragem de conteúdo do repositório é utilizada dentro de um bloco
pluginManagement em um arquivo de configurações. Isso pode causar dois riscos:-
Divulgação de informações: o Gradle poderia fazer solicitações de dependências a repositórios fora da organização e vazar identificadores internos de pacotes.
-
Contaminação de dependências/confusão de dependências: o Gradle poderia baixar um binário malicioso de um repositório fora da organização devido à apropriação indevida de nomes.
Recomendações:
Para as versões do Gradle 5.1 a 6.x, atualize para o Gradle 7.0 o mais rápido possível para corrigir o problema.
Como solução temporária, considere usar um repositório da empresa com as regras corretas para buscar pacotes de repositórios públicos.
Como alternativa, use a filtragem de conteúdo do repositório no nível do projeto, dentro de
buildscript.repositories, disponível desde o Gradle 5.1.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gradle