CVE-2019-19609
CVE-2019-19609
Vexday Risk Score
57Atención
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
Madurez del exploit
Prueba de concepto
PoC popular en GitHub (9 estrellas) — código de explotación ampliamente disponible.
CVSS —EPSS 54.1%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
05 dic 2019Publicada en NVD
29 ago 2021PoC pública
Velocidad de armamento
632 díashasta el primer PoC
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
The Strapi framework before 3.0.0-beta.17.8 is vulnerable to Remote Code Execution in the Install and Uninstall Plugin components of the Admin panel, because it does not sanitize the plugin name, and attackers can inject arbitrary shell commands to be executed by the execa function.
Productos afectados
n/a · n/aPoCs públicas encontradas — 17
githubgithub.com/diego-tella/CVE-2019-19609-EXPLOIT★ 9githubgithub.com/ebadfd/CVE-2019-19609★ 7githubgithub.com/glowbase/CVE-2019-19609★ 2githubgithub.com/RamPanic/CVE-2019-19609-EXPLOIT★ 0githubgithub.com/n000xy/CVE-2019-19609-POC-Python★ 0githubgithub.com/guglia001/CVE-2019-19609★ 0githubgithub.com/D3m0nicw0lf/CVE-2019-19609★ 0vulncheckvulncheck.com/xdb/a629da38980eno verificadovulncheckvulncheck.com/xdb/8c772fa0f6d4no verificadocve_referencepacketstormsecurity.com/files/163940/Strapi-3.0.0-beta.17.7-Remote-Code-Execution.htmlno verificadovulncheckvulncheck.com/xdb/e1bc6a4c6994no verificadocve_referencepacketstormsecurity.com/files/163950/Strapi-CMS-3.0.0-beta.17.4-Remote-Code-Execution.htmlno verificadoexploitdbwww.exploit-db.com/exploits/50238no verificadovulncheckvulncheck.com/xdb/2fda5db4c975no verificadovulncheckvulncheck.com/xdb/f709935a6faano verificadovulncheckvulncheck.com/xdb/50265bd1c780no verificadovulncheckvulncheck.com/xdb/010e050a13ddno verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
Referencias
http://packetstormsecurity.com/files/163940/Strapi-3.0.0-beta.17.7-Remote-Code-Execution.htmlhttp://packetstormsecurity.com/files/163950/Strapi-CMS-3.0.0-beta.17.4-Remote-Code-Execution.htmlhttps://bittherapy.net/post/strapi-framework-remote-code-execution/https://github.com/strapi/strapi/pull/4636