ASA-2019-00398 – Magento: Execução de código arbitrário via upload de arquivo no recurso de importação de administração


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00398

Identificador(es)

ASA-2019-00398, CVE-2019-7930, PRODSECBUG-2349

Título

Execução de código arbitrário via upload de arquivo no recurso de importação de administração

Fabricante(s)

Magento, Inc

Produto(s)

Magento

Versão(ões) afetada(s)

Magento versões 2.1.x anteriores a 2.1.18
Magento versões 2.2.x anteriores a 2.2.9
Magento versões 2.3.x anteriores a 2.3.2

Versão(ões) corrigida(s)

Magento versão 2.1.18
Magento versão 2.2.9
Magento versão 2.3.2

Prova de conceito

Desconhecido

Descrição

Um usuário autenticado com privilégios de administrador para o recurso de importação pode executar código arbitrário fazendo o upload de um arquivo csv malicioso.

Detalhes técnicos

Desconhecido

Créditos

sambecks

Referência(s)

PRODSECBUG-2296: Arbitrary code execution through design layout update – CVE-2019-7895
https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13

CVE-2019-7930
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7930

CVE-2019-7930
https://nvd.nist.gov/vuln/detail/CVE-2019-7930

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 29 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.