Gradle 安全漏洞
- CNNVD編號:CNNVD-202203-1511
- 危害等級: 中危
- CVE編號:CVE-2022-27225
- 漏洞類型: 其他
- 威脅類型:未知
- 廠 商:未知
- 漏洞來源:國家信息安全漏洞庫
- 發(fā)布時(shí)間:2022-03-17
- 更新時(shí)間:2022-03-17
漏洞簡介
Gradle是美國Gradle公司的一套基于JVM的項(xiàng)目構(gòu)建工具,它支持maven、Ivy倉庫等。
Gradle Enterprise存在安全漏洞,該漏洞源于在登錄過程中,Keycloak 會設(shè)置有效地提供記住我功能的瀏覽器 cookie。為了向后兼容舊的 Safari 版本,Keycloak 設(shè)置了不帶 Secure 屬性的 cookie 的副本,這允許在通過 HTTP 訪問設(shè)置 cookie 的位置時(shí)發(fā)送 cookie。這為攻擊者(具有冒充 Gradle Enterprise 主機(jī)的能力)創(chuàng)造了可能,通過讓用戶單擊指向服務(wù)器的 http:// 鏈接來捕獲用戶的登錄會話,盡管真實(shí)服務(wù)器需要 HTTPS。
漏洞公示
目前廠商暫未發(fā)布修復(fù)措施解決此安全問題,建議使用此軟件的用戶隨時(shí)關(guān)注廠商主頁或參考網(wǎng)址以獲取解決辦法:
https://security.gradle.com/advisory/2022-03
參考網(wǎng)站
來源:nvd.nist.gov
鏈接:https://nvd.nist.gov/vuln/detail/CVE-2022-27225
受影響實(shí)體
暫無
補(bǔ)丁
暫無
