CVE-2022-27225 in Gradle Enterprise
Riassunto
di VulDB • 02/07/2026
Gradle Enterprise prima della versione 2021.4.3 utilizza la trasmissione di dati in chiaro (cleartext data transmission) in determinate situazioni. Il prodotto si affida a Keycloak per i servizi di gestione delle identità. Durante il processo di accesso, Keycloak imposta cookie del browser che forniscono efficacemente la funzionalità "remember-me". Per garantire la compatibilità con le versioni più vecchie di Safari, Keycloak imposta una copia duplicata del cookie senza l'attributo Secure, consentendo al cookie di essere inviato quando si accede alla destinazione per cui il cookie è stato impostato tramite HTTP. Ciò crea un potenziale rischio che consente a un attaccante (con la capacità di impersonare l'host Gradle Enterprise) di intercettare la sessione di accesso dell'utente inducendolo a fare clic su un link http:// verso il server, nonostante il server reale richieda HTTPS.
If you want to get best quality of vulnerability data, you may have to visit VulDB.