CVE-2024-11956

Nome do Software Vulnerável e Versões Afetadas Versões 4.2.0 e anteriores do Pimcore customer-data-framework

Descrição Foi encontrado um problema crítico no Pimcore customer-data-framework, afetando alguma funcionalidade desconhecida do arquivo "/admin/customermanagementframework/customers/list". A manipulação do argumento filterDefinition/filter leva à injeção de SQL. O ataque pode ser lançado remotamente.

A vulnerabilidade é encontrada nos parâmetros da URL do seguinte endpoint: GET /admin/customermanagementframework/customers/list?add-new-customer=1&apply-segment-selection=Apply&filterDefinition[allowedRoleIds][]=1&filterDefinition[allowedUserIds][]=2&filterDefinition[id]=0&filterDefinition[name]=RDFYjolf&filterDefinition[readOnly]=on&filterDefinition[shortcutAvailable]=on&filter[active]=1&filter[email]=testing%40example.com&filter[firstname]=RDFYjolf&filter[id]=1&filter[lastname]=RDFYjolf&filter[operator-customer]=AND&filter[operator-segments]=%40%40dz1Uu&filter[search]=the&filter[segments][832][]=847&filter[segments][833][]=835&filter[segments][874][]=876&filter[showSegments][]=832 HTTP/1.1 Os parâmetros filterDefinition e filter são vulneráveis à injeção de SQL. Quando uma entrada especialmente elaborada é fornecida, isso resulta em um erro SQL, indicando que a entrada está sendo usada diretamente em uma consulta SQL sem a devida sanitização.

Recomendações Pimcore customer-data-framework versões 4.2.0 e anteriores: Atualize para a versão 4.2.1 para corrigir o problema.