PT-2021-23352 · Gradle · Gradle Enterprise+1
Jonathan Leitschuh
·
Publicado
2021-10-27
·
Atualizado
2021-11-03
·
CVE-2021-41589
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Gradle Enterprise anteriores à 2021.3
Versões do Enterprise Build Cache Node anteriores à 10.0
Descrição
O problema diz respeito a um potencial envenenamento de cache e execução remota de código ao executar o Build Cache Node com sua configuração padrão, o que permite acesso anônimo à interface de usuário de configuração e acesso anônimo de gravação ao cache de compilação. Um agente mal-intencionado com acesso à rede pode preencher o cache com entradas manipuladas que podem executar código malicioso como parte de um processo de compilação. Isso se aplica tanto ao cache de compilação fornecido com o Gradle Enterprise quanto ao serviço separado do Build Cache Node.
Recomendações
Para versões do Gradle Enterprise anteriores à 2021.3, atualize para a versão 2021.3 ou posterior para resolver o problema.
Para versões do Enterprise Build Cache Node anteriores à 10.0, atualize para a versão 10.0 ou posterior para resolver o problema.
Como solução alternativa temporária, considere alterar a configuração padrão de acesso aberto para restringir o acesso ao cache de compilação e à interface de usuário de configuração, a fim de impedir o acesso anônimo e o potencial envenenamento de cache.
Correção
Incorrect Permission
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Enterprise Build Cache Node
Gradle Enterprise