在 Gradle（一款广受欢迎的开源构建自动化工具，用于软件应用程序的构建、测试和部署）中发现了一个安全漏洞。该漏洞被追踪编号为 CVE-2025-27148，其通用漏洞评分系统（CVSS）评分为 8.8，它可能使本地攻击者在已被攻陷的系统上提升自身权限。

这个漏洞源于 Gradle 在类 Unix 系统上与系统临时目录的交互方式。Gradle 的安全公告解释称：“在类 Unix 系统上，系统临时目录在创建时可能会设置为开放权限，允许多个用户在其中创建和删除文件。” 攻击者可以利用这一点，快速删除并重新创建系统临时目录中的文件，从而有可能操控 Gradle 的构建过程以获取提升的权限。

具体来说，Gradle 8.12 版本会受到影响，因为在初始化过程中，某些代码路径依赖于将二进制文件复制到系统临时目录。公告警告称：“任何对 Gradle 的执行操作都可能暴露这个漏洞。”

幸运的是，Windows 系统用户或现代版本的 macOS 系统用户不会受到这个问题的影响。同样，在系统临时目录上设置了 “sticky bit”或 “noexec”属性的系统也不会受到该漏洞的影响。

Gradle 项目已经在 8.12.1 版本和 8.13 版本中修复了 CVE-2025-27148 漏洞。强烈建议 Gradle 8.12 版本的用户升级到这两个版本中的任意一个，以降低被利用的风险。

对于那些无法立即升级的用户，Gradle 提供了一些解决方法来缓解该漏洞的影响。这些方法包括在系统临时目录上设置 “sticky bit”，或者将 Java 临时目录移动到权限限制更严格的位置。

使用 Gradle 的开发人员和系统管理员应优先更新到最新版本，或者实施推荐的解决方法，以确保他们的系统安全。