CVE-2026-44739 in Pimcoreinformation

Résumé

par VulDB • 18/07/2026

Pimcore est une plateforme de gestion des données et de l'expérience utilisateur open source. Avant les versions 11.5.17 (LTS) et 12.3.6, le point de terminaison columnConfigAction dans bundles/CustomReportsBundle/src/Controller/Reports/CustomReportController.php transmet une configuration SQL malveillante via CustomReportController:columnConfigAction, SqlAdapter::getColumns, SqlAdapter::buildQueryString et Db::fetchAssociative(), permettant à un attaquant disposant des autorisations reports_config d'exécuter des requêtes SELECT arbitraires, des instructions UNION, des fonctions de base de données dangereuses et une injection SQL basée sur les erreurs afin d'extraire ou de manipuler les données de la base de données. Ce problème est corrigé dans les versions 11.5.17 (LTS) et 12.3.6.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

07/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379925

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Interested in the pricing of exploits?

See the underground prices here!