For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00220
Identificador(es)
ASA-2019-00220
Título
PDF.js vulnerável a CVE-2018-5158
Fabricante(s)
GitLab
Produto(s)
GitLab Community Edition (CE)
GitLab Enterprise Edition (EE)
Versão(ões) afetada(s)
GitLab CE/EE 9.5 e posterior
Versão(ões) corrigida(s)
GitLab Community Edition (CE) e GitLab Enterprise Edition (EE) 11.9.4
GitLab Community Edition (CE) e GitLab Enterprise Edition (EE) 11.8.6
GitLab Community Edition (CE) e GitLab Enterprise Edition (EE) 11.7.10
Prova de conceito
Desconhecido
Descrição
A versão do PDF.js incorporada no Gitlab é 1.8.172, que é vulnerável ao CVE-2018-5158. De acordo com o resumo, o JavaScript fornecido pelo atacante será executado em um contexto de web worker.
Detalhes técnicos
Desconhecido
Créditos
certifiable
Referência(s)
GitLab Security Release: 11.9.4, 11.8.6 e 11.7.10
https://about.gitlab.com/2019/04/01/security-release-gitlab-11-dot-9-dot-4-released/
PDF Viewer will run code from PDF files, missing validation for /Domain and /Range parameters
https://bugzilla.mozilla.org/show_bug.cgi?id=1452075
CVE-2019-10640
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10640
CVE-2019-10640
https://nvd.nist.gov/vuln/detail/CVE-2019-10640
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 14 agosto 2019