CVE-2021-29428

**Nome do software vulnerável e versões afetadas:

Versões do Gradle anteriores à 7.0

Descrição:

O problema afeta compilações do Gradle em sistemas do tipo Unix, nos quais o diretório temporário do sistema pode ser criado com permissões abertas, permitindo que vários usuários criem e excluam arquivos dentro dele. Isso pode levar a uma escalada de privilégios local, caso um invasor exclua e recrie rapidamente arquivos no diretório temporário do sistema. A vulnerabilidade afeta compilações que utilizam plug-ins de script pré-compilados escritos em Kotlin DSL e testes para plug-ins do Gradle escritos usando ProjectBuilder ou TestKit. Usuários no Windows ou em versões modernas do macOS não são afetados. Além disso, usuários em sistemas operacionais do tipo Unix com o bit “sticky” definido no diretório temporário do sistema também não estão vulneráveis.

Recomendações:

Para versões do Gradle anteriores à 7.0, certifique-se de que o bit “sticky” esteja definido no diretório temporário do sistema para evitar exploração.

Como alternativa, mova o diretório temporário do Java definindo a propriedade do sistema java.io.tmpdir para um novo caminho que limite as permissões apenas ao usuário da compilação.

Atualize para a versão 7.0 ou posterior do Gradle, que inclui o patch para este problema.