Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-4x35-vr82-xvj6

Опубликовано: 27 апр. 2023
Источник: github
Github: Прошло ревью
CVSS3: 8.8

Описание

SQL Injection in AssetController

Impact

SQL injections in AssetController due to unsanitized concatenating strings in where clause. The attacker can dump database, alter data or perform dos on the backend database.

Patches

Update to version 10.5.21 or apply this patch manually https://github.com/pimcore/pimcore/commit/21e35af721c375ef4676ed50835e30d828e76520.patch

Workarounds

Apply patch https://github.com/pimcore/pimcore/commit/21e35af721c375ef4676ed50835e30d828e76520.patch manually.

References

https://huntr.dev/bounties/bbf59fa7-cf5b-4945-81b0-328adc710462/

Ссылки

Пакеты

Наименование

pimcore/pimcore

composer
Затронутые версииВерсия исправления

< 10.5.21

10.5.21

EPSS

Процентиль: 93%
0.09986
Низкий

8.8 High

CVSS3

CVE ID

CVE-2023-2338

Дефекты

CWE-89

Связанные уязвимости

nvd логотип

CVE-2023-2338

CVSS3: 8.8
nvd
почти 3 года назад

SQL Injection in GitHub repository pimcore/pimcore prior to 10.5.21.

EPSS

Процентиль: 93%
0.09986
Низкий

8.8 High

CVSS3

CVE ID

CVE-2023-2338

Дефекты

CWE-89