Highbrusch

**Nome do software vulnerável e versões afetadas** Versões do Pimcore anteriores à 10.4.4 **Descrição** O Pimcore é uma plataforma de código aberto para gerenciamento de dados e experiência que oferece aos desenvolvedores classes de listagem para facilitar a consulta de dados. Essas classes de listagem permitem ordenar ou agrupar resultados com base em uma ou mais colunas, que deveriam ser colocadas entre aspas por padrão. No entanto, a colocação entre aspas não é feita corretamente, permitindo a possibilidade teórica de injetar SQL personalizado se o desenvolvedor usar esses métodos com dados de entrada e não realizar a validação adequada dos dados antecipadamente, confiando na colocação automática entre aspas pelas classes de listagem. **Recomendações** Para versões anteriores à 10.4.4, atualize para a versão 10.4.4 ou aplique o patch manualmente para resolver o problema. Como solução alternativa temporária, considere validar todos os dados de entrada antes de usá-los com as classes de listagem para minimizar o risco de exploração. Restrinja o acesso aos métodos `setOrderKey` e `setGroupBy` para impedir o uso não autorizado até que o problema seja resolvido. Evite usar entradas fornecidas pelo usuário para os parâmetros `orderBy` e `groupBy` nos pontos de extremidade da API afetados até que o problema seja resolvido.