exploitDog

CVE-2024-23646

Опубликовано: 24 янв. 2024

Источник: nvd

CVSS3: 8.8

EPSS Низкий

Описание

Pimcore's Admin Classic Bundle provides a backend user interface for Pimcore. The application allows users to create zip files from available files on the site. In the 1.x branch prior to version 1.3.2, parameter selectedIds is susceptible to SQL Injection. Any backend user with very basic permissions can execute arbitrary SQL statements and thus alter any data or escalate their privileges to at least admin level. Version 1.3.2 contains a fix for this issue.

Ссылки

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:pimcore:admin_classic_bundle:*:*:*:*:*:pimcore:*:*

Версия от 1.0.0 (включая) до 1.3.2 (исключая)

EPSS

Процентиль: 34%

0.00135

Низкий

8.8 High

CVSS3

Дефекты

CWE-89

Связанные уязвимости

GHSA-cwx6-4wmf-c6xv

CVSS3: 8.8

github

около 2 лет назад

SQL Injection in Admin download files as zip

EPSS

Процентиль: 34%

0.00135

Низкий

8.8 High

CVSS3

Дефекты

CWE-89