ASA-2019-00015 – Drupal: Execução de código PHP arbitrário

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00015

Identificador(es)

ASA-2019-00015, SA-CORE-2019-002, CVE-2019-6339

Título

Execução de código PHP arbitrário

Fabricante(s)

Drupal Association

Produto(s)

Drupal

Versão(ões) afetada(s)

Drupal 8.6.x anterior a 8.6.6
Drupal 8.5.x anterior a 8.5.9
Drupal 7.x anterior a 7.62

Versão(ões) corrigida(s)

Drupal 8.6.6
Drupal 8.5.9
Drupal 7.62

Prova de conceito

Desconhecida

Descrição

Existe uma vulnerabilidade de execução remota de código no wrapper phar do PHP ao executar operações de arquivo em uma URI phar://  não confiável.

Algum código do Drupal (núcleo, contrib e customizado) pode estar executando operações de arquivo em entradas do usuário insuficientemente validadas, sendo, portanto, exposto a essa vulnerabilidade.

Detalhes técnicos

Desconhecido

Créditos

Greg Knaddison (Drupal Security Team)

Referência(s)

Drupal core – Critical – Arbitrary PHP code execution – SA-CORE-2019-002
https://www.drupal.org/sa-core-2019-002

CVE-2019-6339
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6339

CVE-2019-6339
https://nvd.nist.gov/vuln/detail/CVE-2019-6339

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 24 fevereiro 2019