CVE-2022-27225

Versões do Gradle Enterprise anteriores à 2021.4.3

O problema decorre do uso de transmissão de dados em texto simples em determinadas situações pelo Gradle Enterprise, que utiliza o Keycloak para serviços de gerenciamento de identidade. Durante o processo de login, o Keycloak define cookies no navegador para fornecer a funcionalidade “lembrar-me”. No entanto, para garantir compatibilidade com versões mais antigas do Safari, é definido um cookie duplicado sem o atributo Secure, permitindo que o cookie seja enviado via HTTP. Isso cria uma vulnerabilidade para um invasor, que pode se passar pelo host do Gradle Enterprise, capturar a sessão de login de um usuário induzindo-o a clicar em um link http:// para o servidor, apesar de o servidor exigir HTTPS.

Para versões anteriores à 2021.4.3, atualize para a versão 2021.4.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao servidor via HTTP para minimizar o risco de exploração. Evite usar links HTTP para acessar o servidor do Gradle Enterprise até que o problema seja resolvido.