CVE-2021-23340

pimcore/pimcore versões anteriores à 6.8.8

Existe uma vulnerabilidade de inclusão de arquivo local na função downloadCsvAction da classe CustomReportController. Isso pode ser acessado por um usuário autenticado por meio de uma solicitação GET no endpoint “/admin/reports/custom-report/download-csv?exportFile=filename”. A variável exportFile não é sanitizada, permitindo que um invasor explore essa vulnerabilidade.

Para versões anteriores à 6.8.8, atualize para a versão 6.8.8 ou posterior para resolver o problema.

Como solução temporária, considere desativar a função downloadCsvAction na classe CustomReportController até que um patch esteja disponível.

Restrinja o acesso ao endpoint /admin/reports/custom-report/download-csv para minimizar o risco de exploração.

Evite usar a variável exportFile no endpoint da API afetado até que a vulnerabilidade seja resolvida.