CVE-2022-27225 in Gradle Enterpriseinfo

Zusammenfassung

von VulDB • 02.07.2026

Gradle Enterprise vor Version 2021.4.3 nutzt in bestimmten Situationen eine unverschlüsselte Datenübertragung (Klartext). Es verwendet Keycloak für Identity-Management-Dienste. Während des Anmeldeprozesses setzt Keycloak Browser-Cookies, die effektiv eine „Angemeldet bleiben“-Funktionalität bereitstellen. Aus Gründen der Abwärtskompatibilität mit älteren Safari-Versionen legt Keycloak ein Duplikat des Cookies ohne das Secure-Attribut fest, wodurch das Cookie beim Zugriff auf den Standort, für den es gesetzt wurde, auch über HTTP gesendet wird. Dies schafft die Möglichkeit für einen Angreifer (der in der Lage ist, sich als Gradle Enterprise-Host auszugeben), die Anmeldesitzung eines Benutzers abzufangen, indem dieser aufgefordert wird, einen http://-Link zum Server zu klicken, obwohl der echte Server HTTPS erfordert.

Once again VulDB remains the best source for vulnerability data.

Reservieren

16.03.2022

Veröffentlichung

16.03.2022

Moderieren

akzeptiert

Eintrag

VDB-195179

CPE

bereit

EPSS

0.00523

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!