For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00596
Identificador(es)
ASA-2019-00596, CVE-2019-17400
Título
Server Side Request Forgery (SSRF) e Local File Inclusion (LFI) devido ao manuseio incorreto de nomes de caminho não confiáveis
Fabricante(s)
Dag Wieers
Produto(s)
unoconv
Versão(ões) afetada(s)
unoconv versões anteriores à 0.9
Versão(ões) corrigida(s)
unoconv versão 0.9
Prova de conceito
Desconhecido
Descrição
O pacote unoconv anterior a 0.9 manipula nomes de caminho não confiáveis, levando à Server Side Request Forgery (SSRF) e à Local File Inclusion (LFI).
Detalhes técnicos
Desconhecido
Créditos
Desconhecido
Referência(s)
change default updateDocMode behavior and add new option to keep old behavior #510
https://github.com/unoconv/unoconv/pull/510
change default updateDocMode behavior and add new option to keep old behavior #510
https://github.com/unoconv/unoconv/pull/510/commits/1a5ddf2b6eade65df380821b4a1d8f1b70ad765f
A Tale of Exploitation in Spreadsheet File Conversions | Brett Buerhaus
https://buer.haus/2019/10/18/a-tale-of-exploitation-in-spreadsheet-file-conversions/
https://access.redhat.com/security/cve/CVE-2019-17400
CVE-2019-17400
https://security-tracker.debian.org/tracker/CVE-2019-17400
CVE-2019-17400 in Ubuntu
https://people.canonical.com/~ubuntu-security/cve/CVE-2019-17400.html
CVE-2019-17400 | SUSE
https://www.suse.com/security/cve/CVE-2019-17400
CVE-2019-17400
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17400
CVE-2019-17400
https://nvd.nist.gov/vuln/detail/CVE-2019-17400
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 11 novembro 2019