从截图中可以获取以下关于漏洞的关键信息: 漏洞标题: - Failure to disable repositories with unknown host can expose builds to malicious artifacts 严重性: - 高 ( Severity: High, CVSS: 8.6/10 ) 影响范围: - 受影响版本: - = 9.3.0 CVSS v4基本指标: - 攻击途径: 网络 - 攻击复杂性: 高 - 攻击条件: 存在 - 所需权限: 无 - 用户交互: 被动 系统脆弱性指标: - 机密性影响: 高 - 完整性影响: 高 - 可用性影响: 无 后续系统影响指标: - 机密性影响: 无 - 完整性影响: 高 - 可用性影响: 无 CVE ID: - CVE-2026-22816 弱点: - CWE-494 - CWE-829 关键点总结: - 该漏洞存在于Gradle无法正确禁用含有未知主机名的仓库时,这可能导致构建暴露于恶意的制品(artifacts)。 - 该问题被修补在版本8.14.4和9.3.0。 - 在进行依赖解析时,如果Gradle遇到连接错误,它应该禁用该仓库并中断依赖解析过程,以保障构建的可重复性和安全性。 - 在以前的Gradle版本中,当遇到某些异常时,没有被正确识别为致命错误,导致Gradle可能从不同的仓库继续解析依赖,增加了安全隐患。 - 通过严格的内容过滤或依赖验证,可以减轻该漏洞带来的风险。如果不能升级Gradle,则应配置依赖验证来确保只解析预期的依赖。