CVE-2026-55208 in Pimcore Studio
요약
\~에 의해 VulDB • 2026. 07. 10.
Pimcore Studio Backend Bundle는 Pimcore Studio의 백엔드 번들입니다. 버전 2025.4.6 및 2026.1.6 이전에서는 인증된 사용자가 DateFilter 열 키 매개변수에서 시간 기반 블라인드 SQL 인젝션을 통해 관리자 비밀번호 해시 및 기타 데이터베이스 콘텐츠를 추출할 수 있습니다. POST /pimcore-studio/api/website-settings 엔드포인트 및 다른 목록화(endpoints)는 columnFilters 배열을 허용하며, 여기서 key 필드는 수동 백틱 감싸기를 사용하여 SQL에 직접 보간됩니다. 이를 통해 인용 부호를 벗어난 뒤 SLEEP() 및 IF() 서브쿼리 등 임의의 SQL 문을 추가할 수 있습니다. 이 문제는 버전 2025.4.6 및 2026.1.6에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.