For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00308
Identificador(es)
ASA-2019-00308, MACOSNOTE-28840, CVE-2019-10038
Título
Vulnerabilidade de path traversal conduz a execução de código
Fabricante(s)
Evernote Corporation
Produto(s)
Evernote for Mac
Versão(ões) afetada(s)
Evernote para Mac 7.9
Versão(ões) corrigida(s)
Evernote para Mac 7.10 Beta 1
Evernote para Mac 7.9.1 GA
Prova de conceito
Desconhecido
Descrição
Um problema de path traversal de arquivo local existe no Evernote 7.9 para macOS, que permite que um atacante execute programas arbitrários.
Um URI criado pode ser usado em uma nota para executar esse ataque usando file:/// como um argumento ou percorrendo qualquer diretório como (../../../../algumacoisa.app).
Como o Evernote também possui um recurso de compartilhamento de notas, em tal caso, um atacante pode aproveitar essa vulnerabilidade e enviar notas produzidas (.enex) para a vítima para realizar novos ataques.
Detalhes técnicos
Desconhecido
Créditos
Desconhecido
Referência(s)
Security Updates
https://evernote.com/security/updates
Code execution – Evernote
https://www.inputzero.io/2019/04/evernote-cve-2019-10038.html
CVE-2019-10038
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10038
CVE-2019-10038
https://nvd.nist.gov/vuln/detail/CVE-2019-10038
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 14 agosto 2019