Vulnerabilidad en Gradle (CVE-2023-44387)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/10/2023
Última modificación:
21/01/2024
Descripción
Gradle es una herramienta de compilación centrada en la automatización de la compilación y soporte para el desarrollo en varios idiomas. Al copiar o archivar archivos vinculados simbólicamente, Gradle los resuelve pero aplica los permisos del enlace simbólico en lugar de los permisos del archivo vinculado al archivo resultante. Esto lleva a que los archivos tengan demasiados permisos, dado que los enlaces simbólicos suelen ser legibles y escribibles por todo el mundo. Si bien es poco probable que esto resulte en una vulnerabilidad directa para la compilación afectada, puede abrir vectores de ataque dependiendo de dónde terminen copiándose o desarchivándose los artefactos de la compilación. En las versiones 7.6.3, 8.4 y superiores, Gradle ahora usará correctamente los permisos del archivo al que apunta el enlace simbólico para establecer los permisos del archivo copiado o archivado.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gradle:gradle:*:*:*:*:*:*:*:* | 7.6.3 (excluyendo) | |
| cpe:2.3:a:gradle:gradle:*:*:*:*:*:*:*:* | 8.0.0 (incluyendo) | 8.4.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/gradle/gradle/commit/3b406191e24d69e7e42dc3f3b5cc50625aa930b7
- https://github.com/gradle/gradle/releases/tag/v7.6.3
- https://github.com/gradle/gradle/releases/tag/v8.4.0
- https://github.com/gradle/gradle/security/advisories/GHSA-43r3-pqhv-f7h9
- https://security.netapp.com/advisory/ntap-20231110-0006/