ASA-2019-00399 – Magento: Bypass de segurança via injeção de dados de formulário

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00399

Identificador(es)

ASA-2019-00399, CVE-2019-7871, PRODSECBUG-2202

Título

Bypass de segurança via injeção de dados de formulário

Fabricante(s)

Magento, Inc

Produto(s)

Magento

Versão(ões) afetada(s)

Magento versões 2.1.x anteriores a 2.1.18
Magento versões 2.2.x anteriores a 2.2.9
Magento versões 2.3.x anteriores a 2.3.2

Versão(ões) corrigida(s)

Magento versão 2.1.18
Magento versão 2.2.9
Magento versão 2.3.2

Prova de conceito

Desconhecido

Descrição

Um usuário autenticado pode injetar dados de formulário e ignorar as proteções de segurança que impedem o upload arbitrário de scripts PHP.

Detalhes técnicos

Desconhecido

Créditos

Max Chadwick

Referência(s)

PRODSECBUG-2296: Arbitrary code execution through design layout update – CVE-2019-7895
https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13

CVE-2019-7871
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7871

CVE-2019-7871
https://nvd.nist.gov/vuln/detail/CVE-2019-7871

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 29 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.