CVE-2026-23492

Nome do Software Vulnerável e Versões Afetadas Versões do Pimcore anteriores a 12.3.1 Versões do Pimcore anteriores a 11.5.14

Descrição O Pimcore é uma Plataforma de Gestão de Dados e Experiências de código aberto. Um patch de correção de injeção SQL incompleto na API Admin Search Find permite que um atacante autenticado realize injeção SQL cega. A correção inicial tentou mitigar a injeção SQL removendo comentários SQL e capturando erros de sintaxe, mas essa medida foi insuficiente, já que os atacantes ainda podem injetar cargas úteis SQL que não dependem de comentários e inferir informações do banco de dados por meio de técnicas cegas. Isso afeta a interface administrativa e pode levar à divulgação de informações do banco de dados. O endpoint da API vulnerável é /admin/search/find. A vulnerabilidade pode ser explorada por meio de cargas úteis SQL criadas especialmente e enviadas à API.

Recomendações Atualize o Pimcore para a versão 12.3.1 ou posterior. Atualize o Pimcore para a versão 11.5.14 ou posterior.