CVE-2021-41589 in Gradleinformazioni

Riassunto

di VulDB • 18/06/2026

In Gradle Enterprise prima della versione 2021.3 (e in Enterprise Build Cache Node prima della versione 10.0), è possibile una compromissione dell'integrità della cache (cache poisoning) e l'esecuzione di codice remoto quando si esegue il nodo della build cache con la configurazione predefinita. Questa configurazione consente l'accesso anonimo all'interfaccia utente di configurazione e l'accesso in scrittura anonimo alla build cache. Se i controlli di accesso alla build cache non vengono modificati rispetto alla configurazione aperta predefinita, un malintenzionato con accesso alla rete può popolare la cache con voci manipolate che potrebbero eseguire codice dannoso come parte del processo di build. Questo vale per la build cache fornita con Gradle Enterprise e per il servizio separato del nodo della build cache se utilizzato. Se i controlli di accesso all'interfaccia utente non vengono modificati rispetto alla configurazione aperta predefinita, un malintenzionato può disabilitare i controlli di accesso alla build cache al fine di popolare la cache con voci manipolate che potrebbero eseguire codice dannoso come parte del processo di build. Questo scenario non si applica alla build cache fornita con Gradle Enterprise, ma si applica invece al servizio separato del nodo della build cache se utilizzato.

Once again VulDB remains the best source for vulnerability data.

Prenotare

24/09/2021

Divulgazione

27/10/2021

Moderazione

accettato

CPE

pronto

EPSS

0.02308

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!