ASA-2019-00400 – Magento: Execução de código arbitrário por meio da atualização de layout de design

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00400

Identificador(es)

ASA-2019-00400, CVE-2019-7942, PRODSECBUG-2375

Título

Execução de código arbitrário por meio da atualização de layout de design

Fabricante(s)

Magento, Inc

Produto(s)

Magento

Versão(ões) afetada(s)

Magento versões 2.1.x anteriores a 2.1.18
Magento versões 2.2.x anteriores a 2.2.9
Magento versões 2.3.x anteriores a 2.3.2

Versão(ões) corrigida(s)

Magento versão 2.1.18
Magento versão 2.2.9
Magento versão 2.3.2

Prova de conceito

Desconhecido

Descrição

Um usuário autenticado com privilégios de administrador pode executar código arbitrário ao criar um produto por meio de layouts XML maliciosos.

Detalhes técnicos

Desconhecido

Créditos

Charles Fol

Referência(s)

PRODSECBUG-2296: Arbitrary code execution through design layout update – CVE-2019-7895
https://magento.com/security/patches/magento-2.3.2-2.2.9-and-2.1.18-security-update-13

CVE-2019-7942
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-7942

CVE-2019-7942
https://nvd.nist.gov/vuln/detail/CVE-2019-7942

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 29 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.