Vulnerabilidad en Gradle Enterprise (CVE-2022-25364)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

17/03/2022

Última modificación:

08/08/2023

Descripción

En Gradle Enterprise versiones anteriores a 2021.4.2, la configuración por defecto de la caché de construcción incorporada permitía el acceso anónimo de escritura. Si esto no es cambiado manualmente, un actor malicioso con acceso a la red a la caché de compilación podría rellenarla con entradas manipuladas que ejecutaran código malicioso como parte de una compilación. A partir de la versión 2021.4.2, la caché de compilación incorporada es inaccesible por defecto, por lo que es necesario configurar explícitamente sus parámetros de control de acceso antes de poder usarla. (Los nodos remotos de la caché de compilación no están afectados, ya que son inaccesibles por defecto)

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 9.30 ALTA
Vector: AV:N/AC:M/Au:N/C:C/I:C/A:C

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo