الثغرات ›

CVE-2026-22816

مرتفع

Gradle is a build automation tool, and its native-platform tool provides Java bindings for native APIs. When resolving dependencies in versions before 9.3.0, some exceptions were not treated as fatal

CWE-494 — نوع الضعف

                    نُشر: Jan 16, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.4

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Gradle is a build automation tool, and its native-platform tool provides Java bindings for native APIs. When resolving dependencies in versions before 9.3.0, some exceptions were not treated as fatal errors and would not cause a repository to be disabled. If a build encountered one of these exceptions, Gradle would continue to the next repository in the list and potentially resolve dependencies from a different repository. If a Gradle build used an unresolvable host name, Gradle would continue to work as long as all dependencies could be resolved from another repository. An unresolvable host name could be caused by allowing a repository's domain name registration to lapse or typo-ing the real domain name. This behavior could allow an attacker to register a service under the host name used by the build and serve malicious artifacts. The attack requires the repository to be listed before others in the build configuration. Gradle has introduced a change in behavior in Gradle 9.3.0 to stop searching other repositories when encountering these errors.

🤖 ملخص AI

Gradle versions before 9.3.0 fail to treat certain repository resolution exceptions as fatal errors, allowing attackers to register expired or mistyped domain names and serve malicious artifacts. This supply chain attack vector is particularly dangerous in Saudi development environments where build pipelines may not validate artifact sources. Organizations must immediately upgrade to Gradle 9.3.0 or later to prevent dependency poisoning attacks.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 4, 2026 23:01

🇸🇦 التأثير على المملكة العربية السعودية

High impact for Saudi financial technology companies, government development agencies (NCSC, NCA), and enterprises using Gradle for CI/CD pipelines. Banking sector (SAMA-regulated institutions) faces significant risk if malicious dependencies are injected into payment processing systems. Telecom operators (STC, Mobily) and energy sector (ARAMCO, SEC) development teams are vulnerable. Government agencies under NCA oversight using Gradle for critical infrastructure projects require immediate remediation. The attack is particularly effective in organizations with multiple repository configurations and weak artifact validation controls.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Telecommunications Energy and Utilities Healthcare Software Development and Technology Defense and Security

🎯 تقنيات MITRE ATT&CK

T1195 - Supply Chain Compromise T1195.001 - Compromise Software Dependencies and Development Tools T1195.003 - Compromise Hardware Supply Chain T1566.002 - Phishing: Spearphishing Link T1583.001 - Acquire Infrastructure: Domains T1584.001 - Compromise Infrastructure: Domains T1199 - Trusted Relationship T1036.005 - Masquerading: Match Legitimate Name or Location

⚖️ درجة المخاطر السعودية (AI)

7.8

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Audit all Gradle build configurations (build.gradle, settings.gradle) to identify repository declarations and ordering

2. Verify all repository URLs for typos and confirm domain registrations are active

3. Implement repository URL validation and DNS resolution checks in build pipelines

PATCHING GUIDANCE:

1. Upgrade Gradle to version 9.3.0 or later immediately across all development environments

2. Update gradle-wrapper.properties in all projects to reference patched version

3. Rebuild all artifacts with patched Gradle version

4. Validate no malicious artifacts were resolved during the vulnerability window

COMPENSATING CONTROLS (if immediate patching not possible):

1. Implement repository URL whitelisting and disable fallback to secondary repositories

2. Configure repository authentication and certificate pinning

3. Use artifact signature verification and checksums for all dependencies

4. Implement network-level DNS filtering to prevent resolution of suspicious domains

5. Deploy artifact scanning tools (OWASP Dependency-Check, Snyk) in CI/CD pipeline

DETECTION RULES:

1. Monitor Gradle build logs for repository resolution failures followed by successful resolution from alternate repositories

2. Alert on DNS resolution failures for configured repository domains

3. Track artifact downloads from unexpected repositories or with mismatched checksums

4. Implement Software Composition Analysis (SCA) to detect suspicious or newly-registered artifact sources

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تدقيق جميع تكوينات بناء Gradle (build.gradle و settings.gradle) لتحديد تصريحات المستودعات والترتيب

2. التحقق من جميع عناوين URL للمستودعات بحثاً عن الأخطاء الإملائية والتأكد من أن تسجيلات النطاق نشطة

3. تنفيذ التحقق من صحة عنوان URL للمستودع وفحوصات دقة DNS في خطوط الأنابيب

إرشادات التصحيح:

1. ترقية Gradle إلى الإصدار 9.3.0 أو أحدث فوراً عبر جميع بيئات التطوير

2. تحديث gradle-wrapper.properties في جميع المشاريع للإشارة إلى الإصدار المصحح

3. إعادة بناء جميع القطع الأثرية باستخدام إصدار Gradle المصحح

4. التحقق من عدم حل أي قطع أثرية ضارة أثناء نافذة الضعف

الضوابط البديلة (إذا لم يكن التصحيح الفوري ممكناً):

1. تنفيذ قائمة بيضاء لعناوين URL المستودعات وتعطيل الرجوع إلى المستودعات الثانوية

2. تكوين مصادقة المستودع وتثبيت الشهادات

3. استخدام التحقق من توقيع القطع الأثرية والمجاميع الاختبارية لجميع الاعتماديات

4. تنفيذ تصفية DNS على مستوى الشبكة لمنع دقة النطاقات المريبة

5. نشر أدوات فحص القطع الأثرية (OWASP Dependency-Check و Snyk) في خط أنابيب CI/CD

قواعد الكشف:

1. مراقبة سجلات بناء Gradle بحثاً عن فشل حل المستودع متبوعاً بحل ناجح من مستودعات بديلة

2. التنبيه على فشل دقة DNS لنطاقات المستودع المكونة

3. تتبع تنزيلات القطع الأثرية من مستودعات غير متوقعة أو بمجاميع اختبارية غير متطابقة

4. تنفيذ تحليل تكوين البرنامج (SCA) للكشف عن مصادر قطع أثرية مريبة أو مسجلة حديثاً

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.14.2.1 - Secure development policy and procedures ECC 2024 A.14.2.5 - Secure development environment ECC 2024 A.14.2.8 - System security testing ECC 2024 A.8.2.3 - Segregation of duties in development

🔵 SAMA CSF

SAMA CSF ID.SC-4 - Supply chain risk management SAMA CSF PR.DS-6 - Data integrity and authenticity SAMA CSF DE.CM-4 - Malicious code detection SAMA CSF RS.MI-2 - Incident containment

🟡 ISO 27001:2022

ISO 27001:2022 A.8.1.1 - Information security policies ISO 27001:2022 A.8.2.3 - Segregation of duties ISO 27001:2022 A.14.2.1 - Secure development policy ISO 27001:2022 A.14.2.5 - Secure development environment ISO 27001:2022 A.14.3.1 - Threat and vulnerability management

🟣 PCI DSS v4.0.1

PCI DSS 6.2 - Security patches and updates PCI DSS 6.3.2 - Security testing and assessment PCI DSS 8.2.1 - User identification and authentication

🔗 المراجع والمصادر 2

🔗

https://github.com/gradle/gradle/commit/e5707d0d8fce3d768c9c489004700d78eab1773a

security-advisories@github.com

Patch

🔗

https://github.com/gradle/gradle/security/advisories/GHSA-w78c-w6vf-rw82

security-advisories@github.com

Vendor Advisory

📦 المنتجات المتأثرة 2 منتج

gradle:gradle

📊 CVSS Score

7.4

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityH — High

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.4

CWECWE-494

EPSS0.02%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-16

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.8

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

patch-available CWE-494

🏢 توجيهات البائع

🔗 https://github.com/gradle/gradle/security/advisories...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-22816

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب