Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el plugin de Gradle "com.bmuschko: gradle-vagrant-plugin" (CVE-2021-21361)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532 Exposición de información a través de archivos de log
Fecha de publicación:
09/03/2021
Última modificación:
16/03/2021

Descripción

El plugin de Gradle "com.bmuschko: gradle-vagrant-plugin" contiene una vulnerabilidad de divulgación de información debido al registro de las variables de entorno del sistema. Cuando este plugin de Gradle se ejecuta en CI/CD público, esto puede conllevar a que las credenciales confidenciales se expongan a actores maliciosos. Esto se corrige en la versión 3.0.0

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:vagrant_project:vagrant:*:*:*:*:*:gradle:*:* 0.6 (excluyendo)
cpe:2.3:a:vagrant_project:vagrant:*:*:*:*:*:gradle:*:* 2.0 (incluyendo) 3.0.0 (excluyendo)