Inicio / Alerta Temprana / Vulnerabilidades / CVE-2019-13574

Vulnerabilidad en lib/mini_magick/image.rb en MiniMagick (CVE-2019-13574)

Tipo: 
Validación incorrecta de entrada
Gravedad: 
Media
Fecha publicación : 
12/07/2019
Última modificación: 
07/10/2019
Descripción
En la biblioteca lib/mini_magick/image.rb en MiniMagick anterior a versión 4.9.4, un nombre de archivo de imagen remoto recuperado podría causar la ejecución de comandos remota porque la entrada Image.open es pasada directamente al Kernel#open, que acepta un carácter '|' seguido de un comando.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
  • cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
  • cpe:2.3:a:minimagick_project:minimagick:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos