PT-2022-13343 · Pimcore · Pimcore
Kingjia90
·
Publicado
2022-02-22
·
Atualizado
2022-03-02
·
CVE-2022-0665
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
pimcore/pimcore versões anteriores à 10.3.2
Descrição
O problema diz respeito a uma falha de traversal de caminho no repositório GitHub do pimcore/pimcore. Especificamente, o aplicativo não verifica nem filtra o valor do parâmetro
importFile no endpoint “/admin/translation/import”. Isso permite a possível exclusão de arquivos usando a função unlink do PHP após a execução da API.Recomendações
Para versões anteriores à 10.3.2, atualize para a versão 10.3.2 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao endpoint “/admin/translation/import” até que um patch esteja disponível.
Evite usar o parâmetro
importFile no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pimcore