Gradle 安全漏洞
- CNNVD編號(hào):CNNVD-202203-1511
- 危害等級(jí): 中危
- CVE編號(hào):CVE-2022-27225
- 漏洞類(lèi)型: 其他
- 威脅類(lèi)型:未知
- 廠 商:未知
- 漏洞來(lái)源:國(guó)家信息安全漏洞庫(kù)
- 發(fā)布時(shí)間:2022-03-17
- 更新時(shí)間:2022-03-17
漏洞簡(jiǎn)介
Gradle是美國(guó)Gradle公司的一套基于JVM的項(xiàng)目構(gòu)建工具,它支持maven、Ivy倉(cāng)庫(kù)等。
Gradle Enterprise存在安全漏洞,該漏洞源于在登錄過(guò)程中,Keycloak 會(huì)設(shè)置有效地提供記住我功能的瀏覽器 cookie。為了向后兼容舊的 Safari 版本,Keycloak 設(shè)置了不帶 Secure 屬性的 cookie 的副本,這允許在通過(guò) HTTP 訪問(wèn)設(shè)置 cookie 的位置時(shí)發(fā)送 cookie。這為攻擊者(具有冒充 Gradle Enterprise 主機(jī)的能力)創(chuàng)造了可能,通過(guò)讓用戶單擊指向服務(wù)器的 http:// 鏈接來(lái)捕獲用戶的登錄會(huì)話,盡管真實(shí)服務(wù)器需要 HTTPS。
漏洞公示
目前廠商暫未發(fā)布修復(fù)措施解決此安全問(wèn)題,建議使用此軟件的用戶隨時(shí)關(guān)注廠商主頁(yè)或參考網(wǎng)址以獲取解決辦法:
https://security.gradle.com/advisory/2022-03
參考網(wǎng)站
來(lái)源:nvd.nist.gov
鏈接:https://nvd.nist.gov/vuln/detail/CVE-2022-27225
受影響實(shí)體
暫無(wú)
補(bǔ)丁
暫無(wú)
