ASA-2019-00153 – Drupal: O upload de um arquivo pode acionar uma vulnerabilidade de Cross-Site Scripting (XSS)

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00153

Identificador(es)

ASA-2019-00153, SA-CORE-2019-004, CVE-2019-6341

Título

O upload de um arquivo pode acionar uma vulnerabilidade de Cross-Site Scripting (XSS)

Fabricante(s)

Drupal Association

Produto(s)

Drupal

Versão(ões) afetada(s)

Drupal 8.6
Drupal 8.5
Drupal 7

Versão(ões) corrigida(s)

Drupal 8.6.13
Drupal 8.5.14
Drupal 7.65

Prova de conceito

Desconhecido

Descrição

Em determinadas circunstâncias, o módulo/subsistema File permite que um usuário mal-intencionado carregue um arquivo que pode acionar um Cross-Site Scripting (XSS).

Detalhes técnicos

Desconhecido

Créditos

Zero Day Initiative

Referência(s)

Drupal core – Moderately critical – Cross Site Scripting – SA-CORE-2019-004
https://www.drupal.org/sa-core-2019-004

SA-CORE-2019-004 by alexpott, larowlan, greggles, drumm, mlhess, David_Rothstein, pwolanin
https://github.com/drupal/core/commit/933f4f9d620af5807c4eb4ec17dc4eb4193a667c

CVE-2019-6341
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6341

CVE-2019-6341
https://nvd.nist.gov/vuln/detail/CVE-2019-6341

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 26 março 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.