CVE-2026-44739 in Pimcore
Sumário
de VulDB • 17/07/2026
O Pimcore é uma plataforma de código aberto para gestão de dados e experiências. Antes das versões 11.5.17 (LTS) e 12.3.6, o endpoint columnConfigAction em bundles/CustomReportsBundle/src/Controller/Reports/CustomReportController.php transmite configurações SQL maliciosas através do CustomReportController:columnConfigAction, SqlAdapter::getColumns, SqlAdapter::buildQueryString e Db::fetchAssociative(), permitindo que um atacante com a permissão reports_config execute consultas SELECT arbitrárias, instruções UNION, funções de banco de dados perigosas e injeção SQL baseada em erros para exfiltrar ou manipular os dados do banco de dados. Este problema foi corrigido nas versões 11.5.17 (LTS) e 12.3.6.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.