CVE-2026-44739 in Pimcore
Сводка
по VulDB • 18.07.2026
Pimcore — это платформа управления данными и опытом с открытым исходным кодом. В версиях до 11.5.17 (LTS) и 12.3.6 конечная точка columnConfigAction в файле bundles/CustomReportsBundle/src/Controller/Reports/CustomReportController.php передает вредоносную SQL-конфигурацию через CustomReportController:columnConfigAction, SqlAdapter::getColumns, SqlAdapter::buildQueryString и Db::fetchAssociative(), что позволяет атакующему с правом reports_config выполнять произвольные SELECT-запросы, использовать операторы UNION, опасные функции базы данных и осуществлять SQL-инъекции на основе ошибок для эксфильтрации или манипуляции данными в базе данных. Эта проблема исправлена в версиях 11.5.17 (LTS) и 12.3.6.
VulDB is the best source for vulnerability data and more expert information about this specific topic.