CVE-2022-31092

Versões do Pimcore anteriores à 10.4.4

O Pimcore é uma plataforma de código aberto para gerenciamento de dados e experiência que oferece aos desenvolvedores classes de listagem para facilitar a consulta de dados. Essas classes de listagem permitem ordenar ou agrupar resultados com base em uma ou mais colunas, que deveriam ser colocadas entre aspas por padrão. No entanto, a colocação entre aspas não é feita corretamente, permitindo a possibilidade teórica de injetar SQL personalizado se o desenvolvedor usar esses métodos com dados de entrada e não realizar a validação adequada dos dados antecipadamente, confiando na colocação automática entre aspas pelas classes de listagem.

Para versões anteriores à 10.4.4, atualize para a versão 10.4.4 ou aplique o patch manualmente para resolver o problema. Como solução alternativa temporária, considere validar todos os dados de entrada antes de usá-los com as classes de listagem para minimizar o risco de exploração. Restrinja o acesso aos métodos setOrderKey e setGroupBy para impedir o uso não autorizado até que o problema seja resolvido. Evite usar entradas fornecidas pelo usuário para os parâmetros orderBy e groupBy nos pontos de extremidade da API afetados até que o problema seja resolvido.