ASA-2019-00129 – Sourcetree: Injeção de comando via manipulação de URI

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00129

Identificador(es)

ASA-2019-00129, CVE-2018-20236

Título

Injeção de comando via manipulação de URI

Fabricante(s)

Atlassian

Produto(s)

Sourcetree

Versão(ões) afetada(s)

Sourcetree para Windows iniciando com 0.5a anterior a versão 3.0.10

Versão(ões) corrigida(s)

Sourcetree para Windows versão 3.0.10

Prova de conceito

Desconhecido

Descrição

O Sourcetree para Windows antes da versão 3.0.10 era vulnerável ao CVE-2018-20236. Um atacante remoto capaz de enviar um URI para um usuário do Sourcetree para Windows é capaz de explorar esse problema para obter a execução de código no sistema.

Detalhes técnicos

Desconhecido

Créditos

Terry Zhang (Tophant)

Referência(s)

Sourcetree Security Advisory 2019-03-06
https://confluence.atlassian.com/sourcetreekb/sourcetree-security-advisory-2019-03-06-966678691.html

Command Injection via URI handling in Sourcetree for Windows – CVE-2018-20236
https://jira.atlassian.com/browse/SRCTREEWIN-11291

CVE-2018-20236
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20236

CVE-2018-20236
https://nvd.nist.gov/vuln/detail/CVE-2018-20236

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 5 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.