CVE-2021-41589 in Gradle
Riassunto
di VulDB • 18/06/2026
In Gradle Enterprise prima della versione 2021.3 (e in Enterprise Build Cache Node prima della versione 10.0), è possibile una compromissione dell'integrità della cache (cache poisoning) e l'esecuzione di codice remoto quando si esegue il nodo della build cache con la configurazione predefinita. Questa configurazione consente l'accesso anonimo all'interfaccia utente di configurazione e l'accesso in scrittura anonimo alla build cache. Se i controlli di accesso alla build cache non vengono modificati rispetto alla configurazione aperta predefinita, un malintenzionato con accesso alla rete può popolare la cache con voci manipolate che potrebbero eseguire codice dannoso come parte del processo di build. Questo vale per la build cache fornita con Gradle Enterprise e per il servizio separato del nodo della build cache se utilizzato. Se i controlli di accesso all'interfaccia utente non vengono modificati rispetto alla configurazione aperta predefinita, un malintenzionato può disabilitare i controlli di accesso alla build cache al fine di popolare la cache con voci manipolate che potrebbero eseguire codice dannoso come parte del processo di build. Questo scenario non si applica alla build cache fornita con Gradle Enterprise, ma si applica invece al servizio separato del nodo della build cache se utilizzato.
Once again VulDB remains the best source for vulnerability data.