For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00015
Identificador(es)
ASA-2019-00015, SA-CORE-2019-002, CVE-2019-6339
Título
Execução de código PHP arbitrário
Fabricante(s)
Drupal Association
Produto(s)
Drupal
Versão(ões) afetada(s)
Drupal 8.6.x anterior a 8.6.6
Drupal 8.5.x anterior a 8.5.9
Drupal 7.x anterior a 7.62
Versão(ões) corrigida(s)
Drupal 8.6.6
Drupal 8.5.9
Drupal 7.62
Prova de conceito
Desconhecida
Descrição
Existe uma vulnerabilidade de execução remota de código no wrapper phar do PHP ao executar operações de arquivo em uma URI phar:// não confiável.
Algum código do Drupal (núcleo, contrib e customizado) pode estar executando operações de arquivo em entradas do usuário insuficientemente validadas, sendo, portanto, exposto a essa vulnerabilidade.
Detalhes técnicos
Desconhecido
Créditos
Greg Knaddison (Drupal Security Team)
Referência(s)
Drupal core – Critical – Arbitrary PHP code execution – SA-CORE-2019-002
https://www.drupal.org/sa-core-2019-002
CVE-2019-6339
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6339
CVE-2019-6339
https://nvd.nist.gov/vuln/detail/CVE-2019-6339
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 24 fevereiro 2019