Kingjia90

**Name of the Vulnerable Software and Affected Versions** pimcore/pimcore versions prior to 10.6.4 pimcore/pimcore version 10.6.4 is not affected, the fixed version is 10.6.5 **Description** The issue is related to SQL injection in the pimcore/pimcore GitHub repository. This is due to a lack of protection measures for the SQL query structure. An attacker can exploit this issue to conduct SQL injection attacks remotely. Using SQL exploitation tools, such as sqlmap, an attacker can enumerate all information in the database, alter data, or perform a denial of service on the backend database. **Recommendations** For pimcore/pimcore versions prior to 10.6.4, update to version 10.6.5 to resolve the issue. As a temporary workaround, apply the patch manually from https://github.com/pimcore/pimcore/commit/e641968979d4a2377bbea5e2a76bdede040d0b97.patch to mitigate the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** pimcore/customer-data-framework versions prior to 3.4.1 **Description** The product performs authorization checks incorrectly, allowing an unauthorized actor to access resources or perform actions. This enables the attacker to view and freely add, modify, or delete rules. **Recommendations** For versions prior to 3.4.1, update to version 3.4.1 or apply the patch manually from https://github.com/pimcore/customer-data-framework/commit/f15668c86db254e86ba7ac895bc3cdd1a2a3cc45.patch.

**Name of the Vulnerable Software and Affected Versions** pimcore versions prior to 10.3.3 **Description** The issue is related to stored Cross-site Scripting (XSS) in the GitHub repository pimcore/pimcore. Specifically, it affects the `Title field` in the `SEO & Settings` tab of `Document`. This allows for malicious scripts to be stored and executed when a user accesses the affected page. **Recommendations** For versions prior to 10.3.3, update to version 10.3.3 or later to resolve the issue. As a temporary workaround, consider restricting access to the `Title field` in the `SEO & Settings` tab of `Document` to minimize the risk of exploitation.

**Nome do software vulnerável e versões afetadas** Não é mencionado nenhum nome específico de software, mas, com base nas informações fornecidas, o software afetado é provavelmente uma aplicação web. Como as versões afetadas não são mencionadas explicitamente, o resultado será: Aplicação web (versões afetadas não especificadas) **Descrição** Se um invasor conseguir controlar um script executado no navegador da vítima, ele normalmente poderá comprometer totalmente esse usuário. O invasor poderá realizar qualquer ação dentro do aplicativo que o usuário possa realizar, visualizar qualquer informação que o usuário possa visualizar, modificar qualquer informação que o usuário possa modificar e iniciar interações com outros usuários do aplicativo, incluindo ataques maliciosos, que parecerão ter origem no usuário vítima inicial. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** pimcore/pimcore versões anteriores à 10.3.3 **Descrição** O problema está relacionado a um Cross-site Scripting (XSS) armazenado no repositório GitHub pimcore/pimcore. Esse tipo de ataque ocorre quando um aplicativo armazena entradas do usuário que contêm scripts maliciosos, os quais são então executados pelo aplicativo, permitindo que um invasor realize ações não autorizadas. Não há informações sobre o número estimado de dispositivos potencialmente afetados ou incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões anteriores à 10.3.3, atualize para a versão 10.3.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir as entradas do usuário para minimizar o risco de ataques XSS armazenados até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** pimcore/pimcore versões anteriores à 10.3.2 **Descrição** O problema diz respeito a uma falha de traversal de caminho no repositório GitHub do pimcore/pimcore. Especificamente, o aplicativo não verifica nem filtra o valor do parâmetro `importFile` no endpoint “/admin/translation/import”. Isso permite a possível exclusão de arquivos usando a função unlink do PHP após a execução da API. **Recomendações** Para versões anteriores à 10.3.2, atualize para a versão 10.3.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint “/admin/translation/import” até que um patch esteja disponível. Evite usar o parâmetro `importFile` no endpoint da API afetado até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** pimcore/pimcore versões anteriores à 10.3.1 **Descrição** O problema diz respeito à exposição de informações confidenciais a um agente não autorizado. Também há menção a Cross-site Scripting. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões anteriores à 10.3.1, atualize para a versão 10.3.1 ou posterior para resolver o problema.