ASA-2019-00220 – GitLab: PDF.js vulnerável a CVE-2018-5158


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00220

Identificador(es)

ASA-2019-00220

Título

PDF.js vulnerável a CVE-2018-5158

Fabricante(s)

GitLab

Produto(s)

GitLab Community Edition (CE)
GitLab Enterprise Edition (EE)

Versão(ões) afetada(s)

GitLab CE/EE 9.5 e posterior

Versão(ões) corrigida(s)

GitLab Community Edition (CE) e GitLab Enterprise Edition (EE) 11.9.4
GitLab Community Edition (CE) e GitLab Enterprise Edition (EE) 11.8.6
GitLab Community Edition (CE) e GitLab Enterprise Edition (EE) 11.7.10

Prova de conceito

Desconhecido

Descrição

A versão do PDF.js incorporada no Gitlab é 1.8.172, que é vulnerável ao CVE-2018-5158. De acordo com o resumo, o JavaScript fornecido pelo atacante será executado em um contexto de web worker.

Detalhes técnicos

Desconhecido

Créditos

certifiable

Referência(s)

GitLab Security Release: 11.9.4, 11.8.6 e 11.7.10
https://about.gitlab.com/2019/04/01/security-release-gitlab-11-dot-9-dot-4-released/

PDF Viewer will run code from PDF files, missing validation for /Domain and /Range parameters
https://bugzilla.mozilla.org/show_bug.cgi?id=1452075

CVE-2019-10640
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10640

CVE-2019-10640
https://nvd.nist.gov/vuln/detail/CVE-2019-10640

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 14 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.