ASA-2019-00668 – Git: Execução Remota de código (RCE) em clones recursivos

Atualmente, os clones recursivos são afetados por uma vulnerabilidade que é causada pela validação excessivamente relaxada dos nomes dos sub-módulos, permitindo ataques direcionados via execução remota de código em clones recursivos.

ASA-2019-00647 – Facebook WhatsApp: Stack-based buffer overflow enviando um arquivo MP4 especialmente criado

Um stack-based buffer overflow pode ser acionado no WhatsApp enviando um arquivo MP4 especialmente criado para um usuário do WhatsApp. O problema estava presente na análise fluxo elementar dos metadados de um arquivo MP4 e poderia resultar em Negação de Serviço (DoS) ou Execução Remota de Código (RCE).

ASA-2019-00595 – PHP: underflow em env_path_info em fpm_main.c pode conduzir a Execução de Código Remota

No PHP em certas configurações do FPM, é possível fazer com que o módulo FPM escreva dados além dos limites do buffer alocado no espaço reservado para o protocolo FCGI, permitindo assim  execução de código remota.

ASA-2019-00588 – vBulletin: Execução remota de código no endpoint updateAvatar

Um input do usuário transmitido pelos parâmetros "data[extension]" e "data[filedata]" para o terminal "ajax/api/user/updateAvatar" não é validado adequadamente antes de ser usada para atualizar o avatar do usuários. Isso pode ser explorado para injetar e executar código PHP arbitrário. A exploração bem-sucedida dessa vulnerabilidade requer que a opção "Save Avatars as Files" esteja ativada (desativada por padrão).