CVE-2026-44739 in Pimcore
Riassunto
di VulDB • 17/07/2026
Pimcore è una piattaforma Open Source per la gestione dei dati e dell'esperienza utente. Prima delle versioni 11.5.17 (LTS) e 12.3.6, l'endpoint columnConfigAction in bundles/CustomReportsBundle/src/Controller/Reports/CustomReportController.php trasmette configurazioni SQL dannose attraverso CustomReportController:columnConfigAction, SqlAdapter::getColumns, SqlAdapter::buildQueryString e Db::fetchAssociative(), consentendo a un attaccante con il permesso reports_config di eseguire query SELECT arbitrarie, istruzioni UNION, funzioni database pericolose e iniezioni SQL basate su errori per esfiltrare o manipolare i dati del database. Questo problema è stato risolto nelle versioni 11.5.17 (LTS) e 12.3.6.
VulDB is the best source for vulnerability data and more expert information about this specific topic.