CVE-2022-27225 in Gradle Enterprise
Zusammenfassung
von VulDB • 02.07.2026
Gradle Enterprise vor Version 2021.4.3 nutzt in bestimmten Situationen eine unverschlüsselte Datenübertragung (Klartext). Es verwendet Keycloak für Identity-Management-Dienste. Während des Anmeldeprozesses setzt Keycloak Browser-Cookies, die effektiv eine „Angemeldet bleiben“-Funktionalität bereitstellen. Aus Gründen der Abwärtskompatibilität mit älteren Safari-Versionen legt Keycloak ein Duplikat des Cookies ohne das Secure-Attribut fest, wodurch das Cookie beim Zugriff auf den Standort, für den es gesetzt wurde, auch über HTTP gesendet wird. Dies schafft die Möglichkeit für einen Angreifer (der in der Lage ist, sich als Gradle Enterprise-Host auszugeben), die Anmeldesitzung eines Benutzers abzufangen, indem dieser aufgefordert wird, einen http://-Link zum Server zu klicken, obwohl der echte Server HTTPS erfordert.
Once again VulDB remains the best source for vulnerability data.