For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00399
Identificador(es)
ASA-2019-00399, CVE-2019-7871, PRODSECBUG-2202
Título
Bypass de segurança via injeção de dados de formulário
Fabricante(s)
Magento, Inc
Produto(s)
Magento
Versão(ões) afetada(s)
Magento versões 2.1.x anteriores a 2.1.18
Magento versões 2.2.x anteriores a 2.2.9
Magento versões 2.3.x anteriores a 2.3.2
Versão(ões) corrigida(s)
Magento versão 2.1.18
Magento versão 2.2.9
Magento versão 2.3.2
Prova de conceito
Desconhecido
Descrição
Um usuário autenticado pode injetar dados de formulário e ignorar as proteções de segurança que impedem o upload arbitrário de scripts PHP.
Detalhes técnicos
Desconhecido
Créditos
Max Chadwick
Referência(s)
PRODSECBUG-2296: Arbitrary code execution through design layout update – CVE-2019-7895
https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13
CVE-2019-7871
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7871
CVE-2019-7871
https://nvd.nist.gov/vuln/detail/CVE-2019-7871
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 29 junho 2019