1. CVE-Search
  2. CVE-2017-3160
ID CVE-2017-3160
Summary After the Android platform is added to Cordova the first time, or after a project is created using the build scripts, the scripts will fetch Gradle on the first build. However, since the default URI is not using https, it is vulnerable to a MiTM and the Gradle executable is not safe. The severity of this issue is high due to the fact that the build scripts immediately start a build after Gradle has been fetched. Developers who are concerned about this issue should install version 6.1.2 or higher of Cordova-Android. If developers are unable to install the latest version, this vulnerability can easily be mitigated by setting the CORDOVA_ANDROID_GRADLE_DISTRIBUTION_URL environment variable to https://services.gradle.org/distributions/gradle-2.14.1-all.zip
References
Vulnerable Configurations
  • cpe:2.3:a:apache:cordova:0.9.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:0.9.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:0.9.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:0.9.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:0.9.2:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:0.9.2:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:0.9.3:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:0.9.3:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:0.9.4:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:0.9.4:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:0.9.5:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:0.9.5:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:0.9.5.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:0.9.5.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:0.9.6:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:0.9.6:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:0.9.6.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:0.9.6.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.0.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.0.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.0.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.0.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.0.0:rc2:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.0.0:rc2:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.0.0:rc3:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.0.0:rc3:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.1.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.1.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.2.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.2.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.3.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.3.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.3.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.3.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.3.0:rc2:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.3.0:rc2:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.4.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.4.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.4.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.4.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.4.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.4.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.5.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.5.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.5.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.5.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.6.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.6.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.6.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.6.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.6.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.6.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.7.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.7.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.7.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.7.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.8.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.8.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.8.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.8.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.8.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.8.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.9.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.9.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:1.9.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:1.9.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.0.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.0.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.0.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.0.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.1.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.1.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.1.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.1.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.1.0:rc2:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.1.0:rc2:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.2.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.2.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.2.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.2.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.2.0:rc2:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.2.0:rc2:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.3.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.3.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.3.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.3.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.3.0:rc2:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.3.0:rc2:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.4.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.4.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.4.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.4.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.4.0:rc2:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.4.0:rc2:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.5.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.5.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.5.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.5.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.6.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.6.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.6.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.6.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.7.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.7.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.7.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.7.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.8.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.8.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.8.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.8.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.8.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.8.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.9.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.9.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.9.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.9.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:2.9.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:2.9.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.0.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.0.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.0.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.0.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.1.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.1.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.1.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.1.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.2.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.2.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.2.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.2.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.3.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.3.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.3.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.3.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.4.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.4.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.4.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.4.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.5.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.5.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.5.0:rc1:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.5.0:rc1:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.5.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.5.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.6.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.6.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.6.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.6.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.6.3:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.6.3:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.6.4:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.6.4:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.7.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.7.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.7.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.7.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:3.7.2:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:3.7.2:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:4.0.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:4.0.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:4.0.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:4.0.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:4.0.2:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:4.0.2:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:4.1.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:4.1.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:4.1.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:4.1.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:5.0.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:5.0.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:5.1.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:5.1.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:5.1.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:5.1.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:5.2.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:5.2.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:5.2.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:5.2.1:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:5.2.2:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:5.2.2:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:6.0.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:6.0.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:6.1.0:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:6.1.0:*:*:*:*:android:*:*
  • cpe:2.3:a:apache:cordova:6.1.1:*:*:*:*:android:*:*
    cpe:2.3:a:apache:cordova:6.1.1:*:*:*:*:android:*:*
CVSS
Base: 5.8 (as of 15-04-2020 - 21:15)
Impact:
Exploitability:
CWE NVD-CWE-noinfo
CAPEC
Access
VectorComplexityAuthentication
NETWORK MEDIUM NONE
Impact
ConfidentialityIntegrityAvailability
PARTIAL PARTIAL NONE
cvss-vector via4 AV:N/AC:M/Au:N/C:P/I:P/A:N
refmap via4
bid 95838
misc
Last major update 15-04-2020 - 21:15
Published 01-02-2018 - 21:29
Last modified 15-04-2020 - 21:15
Back to Top