CVE-2019-16370

Опубликовано: 16 сент. 2019

Источник: nvd

CVSS3: 5.9

CVSS2: 4.3

EPSS Низкий

Описание

The PGP signing plugin in Gradle before 6.0 relies on the SHA-1 algorithm, which might allow an attacker to replace an artifact with a different one that has the same SHA-1 message digest, a related issue to CVE-2005-4900.

Ссылки

https://github.com/gradle/gradle/commit/425b2b7a50cd84106a77cdf1ab665c89c6b14d2f
Patch
Third Party Advisory
https://github.com/gradle/gradle/pull/10543
Exploit
Patch
Third Party Advisory
https://github.com/gradle/gradle/commit/425b2b7a50cd84106a77cdf1ab665c89c6b14d2f
Patch
Third Party Advisory
https://github.com/gradle/gradle/pull/10543
Exploit
Patch
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:gradle:gradle:*:*:*:*:*:*:*:*

Версия до 6.0 (исключая)

EPSS

Процентиль: 37%

0.00162

Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-327

Связанные уязвимости

CVE-2019-16370

CVSS3: 5.9

ubuntu

больше 6 лет назад

CVE-2019-16370

CVSS3: 5.9

redhat

больше 6 лет назад

CVE-2019-16370

CVSS3: 5.9

debian

больше 6 лет назад

The PGP signing plugin in Gradle before 6.0 relies on the SHA-1 algori ...

GHSA-hhr2-f668-ff2w

github

больше 3 лет назад

Use of a weak cryptographic algorithm in Gradle

EPSS

Процентиль: 37%

0.00162

Низкий

5.9 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-327