CVE-2022-27225 in Gradle Enterpriseinformazioni

Riassunto

di VulDB • 02/07/2026

Gradle Enterprise prima della versione 2021.4.3 utilizza la trasmissione di dati in chiaro (cleartext data transmission) in determinate situazioni. Il prodotto si affida a Keycloak per i servizi di gestione delle identità. Durante il processo di accesso, Keycloak imposta cookie del browser che forniscono efficacemente la funzionalità "remember-me". Per garantire la compatibilità con le versioni più vecchie di Safari, Keycloak imposta una copia duplicata del cookie senza l'attributo Secure, consentendo al cookie di essere inviato quando si accede alla destinazione per cui il cookie è stato impostato tramite HTTP. Ciò crea un potenziale rischio che consente a un attaccante (con la capacità di impersonare l'host Gradle Enterprise) di intercettare la sessione di accesso dell'utente inducendolo a fare clic su un link http:// verso il server, nonostante il server reale richieda HTTPS.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Prenotare

16/03/2022

Divulgazione

16/03/2022

Moderazione

accettato

CPE

pronto

EPSS

0.00523

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!