中危 Gradle Build Action 信息泄露漏洞(CVE-2023-30853)
CVE编号
CVE-2023-30853利用情况
暂无补丁情况
官方补丁披露时间
2023-04-29漏洞描述
GitHub 工作流, 此漏洞影响使用Gradle Build Action 的 的情况下执行 Gradle Build Tool 这些工作流在启用配置缓存 ,可能会暴露为存储库配置的秘密。 为 GitHub Actions 配置的秘密通常通过环境变量传递给 Gradle 构建工具。 由于 Gradle 构建工具记录这些环境变量的方式,它们可能会持久保存到 GitHub 操作缓存中的条目中。 存储在 GitHub Actions 缓存中的数据可以由在不受信任的上下文中运行的 GitHub Actions 工作流读取,例如为开发人员通过存储库分叉提交的合并请求而运行的工作流。 这个漏洞是通过代码审查在内部发现的,我们没有看到任何证据表明它在野外被利用。 但是,除了升级 Gradle Build Action 之外,您还应该删除任何可能存在漏洞的缓存条目,并且可以选择轮换任何可能受影响的机密。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://github.com/gradle/gradle-build-action/releases/tag/v2.4.2 | |
| https://github.com/gradle/gradle-build-action/security/advisories/GHSA-h3qr-39j9-4r5v |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | gradle | build_action | * | Up to (excluding) 2.4.2 | |||||
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 普通权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-200 | 信息暴露 |
| CWE-312 | 敏感数据的明文存储 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论