CVE-2022-31156

Versões do Gradle de 6.2 a 7.4.2

O Gradle é uma ferramenta de compilação que possui um recurso de segurança chamado verificação de dependências, o qual valida dependências externas por meio de checksum ou assinaturas criptográficas. Nas versões afetadas, há casos em que o Gradle pode ignorar a verificação e aceitar dependências não confiáveis. Isso pode ocorrer de duas maneiras: quando a verificação de assinatura está desativada, mas os metadados de verificação contêm elementos gpg sem elementos checksum, ou quando a verificação de assinatura está ativada, mas nenhum arquivo de assinatura é encontrado no repositório remoto. Os riscos para compilações vulneráveis incluem o download de binários maliciosos devido à apropriação indevida de nomes ou o download de bibliotecas maliciosas ao usar HTTP em vez de HTTPS.

Para as versões 6.2 a 7.4.2 do Gradle, considere atualizar para o Gradle 7.5, que corrige esse problema garantindo que a verificação de checksum seja executada caso a verificação de assinatura não possa ser concluída.

Como solução alternativa temporária, remova todos os elementos gpg dos metadados de verificação de dependências se a validação de assinatura estiver desativada.

Evite adicionar entradas gpg para dependências que não possuam arquivos de assinatura.