CVE-2024-23646

Versões do Admin Classic Bundle do Pimcore anteriores à 1.3.2

O aplicativo permite que os usuários criem arquivos zip a partir de arquivos disponíveis no site. O parâmetro selectedIds é suscetível a injeção de SQL. Qualquer usuário de backend com permissões muito básicas pode executar instruções SQL arbitrárias e, assim, alterar quaisquer dados ou escalar seus privilégios para, no mínimo, o nível de administrador.

Para versões anteriores à 1.3.2, atualize para a versão 1.3.2 para resolver o problema.

Como solução temporária, considere adicionar o seguinte código para escapar os parâmetros:

foreach ($selectedIds as $selectedId) {

  if ($selectedId) {

    $quotedSelectedIds[] = $db->quote($selectedId);

  }

}

Restrinja o acesso ao endpoint downloadAsZipAddFilesAction para minimizar o risco de exploração.

Evite usar o parâmetro selectedIds no endpoint da API afetado até que o problema seja resolvido.