CVE-2026-55208 in Pimcore Studioالمعلومات

الملخص

بحسب VulDB • 10/07/2026

تُعد حزمة Pimcore Studio Backend Bundle الحزمة الخلفية لـ Pimcore Studio. قبل الإصدارين 2025.4.6 و 2026.1.6، يمكن لمستخدم مُصادَق عليه استخراج تجزئة كلمة مرور المسؤول ومحتوى قاعدة البيانات الآخر عبر حقن SQL أعمى قائم على الوقت في معلمة مفتاح عمود DateFilter. تقبل نقطة النهاية POST /pimcore-studio/api/website-settings ونقاط النهاية الأخرى الخاصة بالقوائم مصفوفة columnFilters حيث يتم تداخل الحقل key مباشرةً داخل استعلام SQL مع وضع علامات اقتباس خلفية يدوية، مما يسمح لحرف علامة الاقتباس الخلفية بالهروب من التضمين وإضافة استعلامات SQL تعسفية مثل دوال SLEEP() والاستعلامات الفرعية IF(). تم إصلاح هذه المشكلة في الإصدارين 2025.4.6 و 2026.1.6.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

16/06/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377373

EPSS

0.00249

KEV

لا

النشاطات

منخفض

المصادر

Interested in the pricing of exploits?

See the underground prices here!