关键信息 漏洞标题 Potential disclosure of session cookies via header reflection 影响的产品 Gradle Enterprise 2017.3 - 2020.2.4 Gradle Enterprise Build Cache Node 1.0 - 9.2 漏洞严重性 Critical 发布日期 2020-09-15 相关CVE ID CVE-2020-15768 漏洞描述 Unrestricted HTTP header reflection 在Gradle Enterprise中允许远程攻击者获得认证Cookies,如果他们能够发现一个单独的XSS漏洞。这会允许攻击者冒充另一个用户。 - 受影响的Gradle Enterprise请求路径: - /info/headers - /cache-info/headers - /admin-info/headers - /distribution-broker-info/headers - 受影响的Gradle Enterprise Build Cache Node请求路径: - /cache-node-info/headers 缓解措施 升级至: - Gradle Enterprise 2020.2.5 - Gradle Build Cache Node 9.3 或者通过阻塞上述请求路径。 致谢 此问题由Compass Security负责任地报告。