One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8392305 |
| Date de publication | 2023-10-06 14:15:12 (vue: 2023-10-06 17:07:14) |
| Titre | CVE-2023-42445 |
| Texte | Gradle est un outil de construction en mettant l'accent sur l'automatisation de la construction et la prise en charge du développement multi-langues.Dans certains cas, lorsque Gradle analyse les fichiers XML, la résolution des entités externes XML n'est pas désactivée.Combiné avec une attaque XXE hors bande (OOB-XXE), le simple d'analyse XML peut conduire à l'exfiltration de fichiers texte locaux sur un serveur distant.Gradle analyse les fichiers XML à plusieurs fins.La plupart du temps, les fichiers XML Gradle parses qu'il ont générés ou étaient déjà présents localement.Seuls les descripteurs XML IVY et les fichiers Maven POM peuvent être récupérés à partir de référentiels distants et analysés par Gradle.Dans Gradle 7.6.3 et 8.4, la résolution des entités externes XML a été désactivée pour tous les cas d'utilisation pour se protéger contre cette vulnérabilité.Gradle refusera désormais d'analyser les fichiers XML qui ont des entités externes XML.
Gradle is a build tool with a focus on build automation and support for multi-language development. In some cases, when Gradle parses XML files, resolving XML external entities is not disabled. Combined with an Out Of Band XXE attack (OOB-XXE), just parsing XML can lead to exfiltration of local text files to a remote server. Gradle parses XML files for several purposes. Most of the time, Gradle parses XML files it generated or were already present locally. Only Ivy XML descriptors and Maven POM files can be fetched from remote repositories and parsed by Gradle. In Gradle 7.6.3 and 8.4, resolving XML external entities has been disabled for all use cases to protect against this vulnerability. Gradle will now refuse to parse XML files that have XML external entities. |
| Envoyé | Oui |
| Condensat | 2023 42445 against all already attack automation band been build can cases combined cve descriptors development disabled entities exfiltration external fetched files focus from generated gradle has have ivy just language lead local locally maven most multi not now only oob out parse parsed parses parsing pom present protect purposes refuse remote repositories resolving server several some support text time tool use vulnerability when will xml xxe |
| Tags | Tool |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.