CVE-2022-23630

Versões do Gradle anteriores à 7.4

O Gradle é uma ferramenta de compilação voltada para a automação de compilação e o suporte ao desenvolvimento em várias linguagens. Em alguns casos, o Gradle pode ignorar a verificação e aceitar uma dependência que, de outra forma, causaria a falha da compilação por ser considerada um artefato externo não confiável. Isso ocorre quando a verificação de dependências está desativada em uma ou mais configurações e essas configurações têm dependências em comum com outras configurações que têm a verificação de dependências ativada. Se a configuração com a verificação de dependências desativada for resolvida primeiro, o Gradle não verifica as dependências em comum para a configuração que tem a verificação de dependências ativada. O problema foi corrigido no Gradle 7.4, validadando os artefatos pelo menos uma vez se eles estiverem presentes em uma configuração resolvida que tenha a verificação de dependências ativa.

Para versões anteriores à 7.4, não use ResolutionStrategy.disableDependencyVerification() e não use plug-ins que utilizem esse método para desativar a verificação de dependências em uma única configuração. Como alternativa, certifique-se de que a resolução da configuração que desativa esse recurso não ocorra em compilações que resolvam configurações nas quais o recurso esteja ativado.

No momento, não há informações sobre outras versões que contenham uma correção para esse problema.