CVE-2022-31156

MITJÀ: (6.6)

CVSS3: 5.8

Gradle podria permetre a un atacant remot autenticat saltar-se les restriccions de seguretat, causades per un problema de verificació de la dependència que pot ignorar la verificació de la suma de comprovació quan la verificació de la signatura no es pot realitzar. Mitjançant l’enviament d’una sol·licitud especialment dissenyada, un atacant podria aprofitar aquesta vulnerabilitat per a descarregar codis binaris maliciosos des d’un repositori arbitrari o dur a terme un atac de tipus man-in-the-middle.

Sistemes Afectats

• Gradle Gradle 6.2
• Gradle Gradle 7.4.2

Remediació
Actualitzi a l’última versió de Gradle (7.5 o posterior), disponible en el repositori GIT de Gradle.

Referències

• https://github.com/gradle/gradle/security/advisories/GHSA-j6wc-xfg8-jx2j
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31156