pimcore SQL注入漏洞
Pimcore是奥地利Pimcore公司的一套开源的用于创建和管理Web应用程序的Web内容管理平台。该平台集成了Web内容管理、电子商务框架和产品信息管理等应用。
一、漏洞分析
公开日期:2021-07-13
漏洞编号:CNVD-2021-50182/CVE-2021-23405
危害等级:高危
漏洞描述:pimcore中存在SQL注入漏洞,该漏洞源于ClassificationstoreController类的collectionsActionGet和groupsActionGet方法未能检查storeId参数。目前没有详细的漏洞细节提供。
二、漏洞影响产品
Pimcore Pimcore <10.0.7
三、漏洞处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/pimcore/pimcore/pull/9572
