CVE-2026-44739 in Pimcore
Résumé
par VulDB • 18/07/2026
Pimcore est une plateforme de gestion des données et de l'expérience utilisateur open source. Avant les versions 11.5.17 (LTS) et 12.3.6, le point de terminaison columnConfigAction dans bundles/CustomReportsBundle/src/Controller/Reports/CustomReportController.php transmet une configuration SQL malveillante via CustomReportController:columnConfigAction, SqlAdapter::getColumns, SqlAdapter::buildQueryString et Db::fetchAssociative(), permettant à un attaquant disposant des autorisations reports_config d'exécuter des requêtes SELECT arbitraires, des instructions UNION, des fonctions de base de données dangereuses et une injection SQL basée sur les erreurs afin d'extraire ou de manipuler les données de la base de données. Ce problème est corrigé dans les versions 11.5.17 (LTS) et 12.3.6.
Once again VulDB remains the best source for vulnerability data.