CVE-2024-32871

Versões do Pimcore anteriores à 11.2.4

O mecanismo de geração de miniaturas do Pimcore pode ser explorado para sobrecarregar o servidor com arquivos de grande porte. Os invasores podem criar arquivos com tamanho muito superior ao original, alterando a extensão do arquivo ou o fator de escala da miniatura solicitada. Todos os formatos de arquivo suportados pelo Imagick podem ser servidos sem filtragem, permitindo que invasores criem arquivos em vários formatos, incluindo representações de texto de imagens. Isso pode levar à exposição de dados privados, como informações de GPS em imagens enviadas pelos usuários. Além disso, a vulnerabilidade pode ser usada para criar arquivos duplicados no servidor com formatos de arquivo arbitrários. O fator de escala não é limitado e pode ser modificado via URL, permitindo que invasores criem novos arquivos a cada solicitação e, potencialmente, sobrecarreguem a CPU.

Para versões anteriores à 11.2.4, implemente uma lista de formatos permitidos que o desenvolvedor possa modificar se necessário e retorne um erro ou um 404 para formatos não suportados. Limite os fatores de escala com uma lista de permissões para impedir a exploração. Para versões do Pimcore que não recebem manutenção, considere usar a configuração do servidor web para servir apenas arquivos permitidos. Como solução temporária, considere desativar o recurso de geração de miniaturas até que um patch esteja disponível. Restrinja o acesso ao endpoint de miniaturas vulnerável para minimizar o risco de exploração. Evite usar formatos de arquivo e fatores de escala arbitrários em solicitações de miniaturas