ASA-2019-00308 – Evernote: Vulnerabilidade de path traversal conduz a execução de código

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00308

Identificador(es)

ASA-2019-00308, MACOSNOTE-28840, CVE-2019-10038

Título

Vulnerabilidade de path traversal conduz a execução de código

Fabricante(s)

Evernote Corporation

Produto(s)

Evernote for Mac

Versão(ões) afetada(s)

Evernote para Mac 7.9

Versão(ões) corrigida(s)

Evernote para Mac 7.10 Beta 1
Evernote para Mac 7.9.1 GA

Prova de conceito

Desconhecido

Descrição

Um problema de path traversal de arquivo local existe no Evernote 7.9 para macOS, que permite que um atacante execute programas arbitrários.

Um URI criado pode ser usado em uma nota para executar esse ataque usando file:/// como um argumento ou percorrendo qualquer diretório como (../../../../algumacoisa.app).

Como o Evernote também possui um recurso de compartilhamento de notas, em tal caso, um atacante pode aproveitar essa vulnerabilidade e enviar notas produzidas (.enex) para a vítima para realizar novos ataques.

Detalhes técnicos

Desconhecido

Créditos

Desconhecido

Referência(s)

Security Updates
https://evernote.com/security/updates

Code execution – Evernote
https://www.inputzero.io/2019/04/evernote-cve-2019-10038.html

CVE-2019-10038
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10038

CVE-2019-10038
https://nvd.nist.gov/vuln/detail/CVE-2019-10038

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 14 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.