CVE-2019-19609
CVE-2019-19609
Vexday Risk Score
57Atenção
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
Maturidade do exploit
Prova de conceito
PoC popular no GitHub (9 estrelas) — código de exploração amplamente disponível.
CVSS —EPSS 54.1%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
05 dez 2019Publicada no NVD
29 ago 2021PoC pública
Velocidade de armamento
632 diasaté o primeiro PoC
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
The Strapi framework before 3.0.0-beta.17.8 is vulnerable to Remote Code Execution in the Install and Uninstall Plugin components of the Admin panel, because it does not sanitize the plugin name, and attackers can inject arbitrary shell commands to be executed by the execa function.
Produtos afetados
n/a · n/aPoCs públicas encontradas — 17
githubgithub.com/diego-tella/CVE-2019-19609-EXPLOIT★ 9githubgithub.com/ebadfd/CVE-2019-19609★ 7githubgithub.com/glowbase/CVE-2019-19609★ 2githubgithub.com/RamPanic/CVE-2019-19609-EXPLOIT★ 0githubgithub.com/n000xy/CVE-2019-19609-POC-Python★ 0githubgithub.com/guglia001/CVE-2019-19609★ 0githubgithub.com/D3m0nicw0lf/CVE-2019-19609★ 0vulncheckvulncheck.com/xdb/a629da38980enão verificadovulncheckvulncheck.com/xdb/8c772fa0f6d4não verificadocve_referencepacketstormsecurity.com/files/163940/Strapi-3.0.0-beta.17.7-Remote-Code-Execution.htmlnão verificadovulncheckvulncheck.com/xdb/e1bc6a4c6994não verificadocve_referencepacketstormsecurity.com/files/163950/Strapi-CMS-3.0.0-beta.17.4-Remote-Code-Execution.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/50238não verificadovulncheckvulncheck.com/xdb/2fda5db4c975não verificadovulncheckvulncheck.com/xdb/f709935a6faanão verificadovulncheckvulncheck.com/xdb/50265bd1c780não verificadovulncheckvulncheck.com/xdb/010e050a13ddnão verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Referências
http://packetstormsecurity.com/files/163940/Strapi-3.0.0-beta.17.7-Remote-Code-Execution.htmlhttp://packetstormsecurity.com/files/163950/Strapi-CMS-3.0.0-beta.17.4-Remote-Code-Execution.htmlhttps://bittherapy.net/post/strapi-framework-remote-code-execution/https://github.com/strapi/strapi/pull/4636