Pimcore SQL注入漏洞

CNNVD-ID编号	CNNVD-202401-2220
CVE编号	CVE-2024-23646
发布时间	2024-01-24
更新时间	2024-01-25
漏洞类型	SQL注入
漏洞来源	暂无
危险等级	N/A
威胁类型	N/A
厂商	Pimcore

漏洞介绍

Pimcore是奥地利Pimcore公司的一套开源的用于创建和管理Web应用程序的Web内容管理平台。该平台集成了Web内容管理、电子商务框架和产品信息管理等应用。 Pimcore 1.3.2之前的1.x版本存在SQL注入漏洞，该漏洞源于容易受到SQL注入，任何具有基本权限的后端用户都可以执行任意SQL语句，从而更改任何数据或将其权限至少提升到管理员级别。

漏洞补丁

目前暂无Pimcore SQL注入漏洞的补丁信息，如Pimcore SQL注入漏洞补丁信息有更新，便会立即同步；

参考网址

来源:github.com

链接：https://github.com/pimcore/admin-ui-classic-bundle/security/advisories/GHSA-cwx6-4wmf-c6xv
来源:github.com

链接：https://github.com/pimcore/admin-ui-classic-bundle/commit/363afef29496cc40a8b863c2ca2338979fcf50a8
来源:github.com

链接：https://github.com/pimcore/admin-ui-classic-bundle/blob/1.x/src/Controller/Admin/Asset/AssetController.php#L2006
来源:github.com

链接：https://github.com/pimcore/admin-ui-classic-bundle/blob/1.x/src/Controller/Admin/Asset/AssetController.php#L2087
来源:github.com

链接：https://github.com/pimcore/admin-ui-classic-bundle/releases/tag/v1.3.2

受影响实体

信息来源

CNNVD