【漏洞预警】 Pimcore SQL注入漏洞(CVE-2022-1339)
01
漏洞描述
Pimcore是奥地利Pimcore公司的一套开源的用于创建和管理Web应用程序的Web内容管理平台。该平台集成了Web内容管理、电子商务框架和产品信息管理等应用。Pimcore的基于Web的数据建模引擎具有40多种高性能数据类型,可以帮助公司轻松管理具有成千上万个属性的数百万种产品或其他主数据。它还提供多语言数据管理,对象关系,数据分类,数字资产管理(DAM)和数据继承支持的数据建模。可实现注重易用性的高效企业数据管理;产品信息的汇总,组织,分类和翻译的一致性;健全的数据治理,以实现优化,灵活性和可扩展性。10.3.5 之前 GitHub 存储库 pimcore/pimcore 中 ElementController.php 中的 SQL 注入。该漏洞能够窃取数据
02
漏洞危害
Pimcore 10.3.5之前版本存在SQL注入漏洞,该漏洞源于ElementController.php缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。
03
影响范围
PimcorePimcore <10.3.5
04
漏洞等级
高危
06
修复方案
厂商尚未提供漏洞修复方案,请关注厂商主页更新:
https://huntr.dev/bounties/ae8dc737-844e-40da-a9f7-e72d8e50f6f9/
END