W Gradle Enterprise przed wersją 2023.1 nowe instalacje mogą posiadać nieunikalnie hasło początkowego użytkownika systemowego. Atakujący może zalogować się przed pierwszym logowaniem administratora i przejąć kontrolę nad systemem.
▸ Pokaż oryginał (EN)
In Gradle Enterprise before 2023.1, a remote attacker may be able to gain access to a new installation (in certain installation scenarios) because of a non-unique initial system user password. Although this password must be changed upon the first login, it is possible that an attacker logs in before the legitimate administrator logs in.
Podczas instalacji Gradle Enterprise tworzony jest początkowy użytkownik systemowy z nieunikalnym, przewidywalnym hasłem. Hasło to musi zostać zmienione przy pierwszym logowaniu, jednak jeśli atakujący zdalnie zaloguje się jako ten użytkownik wcześniej niż legalny administrator, przejmuje kontrolę nad kontem. Podatność dotyczy wyłącznie nowych instalacji w określonych scenariuszach konfiguracyjnych.
Atakujący może uzyskać pełny dostęp do nowej instalacji Gradle Enterprise, co skutkuje naruszeniem poufności, integralności i dostępności systemu (CWE-521 — słabe wymagania dotyczące haseł).
Należy zaktualizować Gradle Enterprise do wersji 2023.1 lub nowszej. Do czasu aktualizacji należy niezwłocznie po instalacji zalogować się jako administrator i zmienić hasło domyślnego użytkownika systemowego. Szczegóły dostępne w poradniku producenta: https://security.gradle.com/advisory/2023-01
Gradle Enterprise w wersjach przed 2023.1, wyłącznie nowe instalacje w określonych scenariuszach instalacyjnych
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HGradle Enterprise
APPGradle< 2023.1
Powiązane podatności
Gradle Enterprise before 2022.1 allows remote code execution if the installation process did not specify an in...
In Gradle Enterprise before 2021.3 (and Enterprise Build Cache Node before 10.0), there is potential cache poi...
In Gradle Enterprise before 2018.5.3, Build Cache Nodes did not store the credentials at rest in an encrypted ...
In Gradle Enterprise before 2018.5.2, Build Cache Nodes would reflect the configured password back when viewin...
A credential-exposure vulnerability in the support-bundle mechanism in Gradle Enterprise 2022.3 through 2022.3...