ASA-2019-00396 – Magento: Execução de código arbitrário por meio da atualização de layout de design

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00396

Identificador(es)

ASA-2019-00396, CVE-2019-7897, PRODSECBUG-2296

Título

Execução de código arbitrário por meio da atualização de layout de design

Fabricante(s)

Magento, Inc

Produto(s)

Magento

Versão(ões) afetada(s)

Magento versões 2.1.x anteriores a 2.1.18
Magento versões 2.2.x anteriores a 2.2.9
Magento versões 2.3.x anteriores a 2.3.2

Versão(ões) corrigida(s)

Magento versão 2.1.18
Magento versão 2.2.9
Magento versão 2.3.2

Prova de conceito

Desconhecido

Descrição

Um usuário autenticado com privilégios de administrador pode executar código arbitrário por meio de uma atualização de layout XML criada.

Detalhes técnicos

desconhecido

Créditos

Blaklis

Referência(s)

PRODSECBUG-2296: Arbitrary code execution through design layout update – CVE-2019-7895
https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13

CVE-2019-7897
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7897

CVE-2019-7897
https://nvd.nist.gov/vuln/detail/CVE-2019-7897

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 29 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.