Vulnerabilidad en Gradle (CVE-2023-42445)

Gradle es una herramienta de compilación centrada en la automatización de la build y soporte para el desarrollo en varios idiomas. En algunos casos, cuando Gradle analiza archivos XML, la resolución de entidades externas XML no está deshabilitada. Combinado con un ataque XXE fuera de banda (OOB-XXE), el simple hecho de analizar XML puede provocar la filtración de archivos de texto locales a un servidor remoto. Gradle analiza archivos XML para varios propósitos. La mayoría de las veces, Gradle analiza los archivos XML que generó o que ya estaban presentes localmente. Gradle solo puede recuperar los descriptores XML de Ivy y los archivos POM de Maven de repositorios remotos y analizarlos. En Gradle 7.6.3 y 8.4, la resolución de entidades externas XML se ha deshabilitado para todos los casos de uso para proteger contra esta vulnerabilidad. Gradle ahora se negará a analizar archivos XML que tengan entidades externas XML.