Informazioni sul CVE-2023-28108

Pimcore has improper quoting of columns when calling methods "getByUuid" & "exists" on UUID Model

CWE ID: CWE-89

Base Score (CVSS): N/A

CVE: CVE-2023-28108

Descrizione: Pimcore is an open source data and experience management platform. Prior to version 10.5.19, quoting is not done properly in UUID DAO model. There is the theoretical possibility to inject custom SQL if the developer is using this methods with input data and not doing proper input validation in advance and so relies on the auto-quoting being done by the DAO class. Users should update to version 10.5.19 to receive a patch or, as a workaround, apply the patch manually.

Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 7.8 (High)

Riassunto: Accesso: Local, Privilegi: High, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: None.

Dettaglio del Vettore

Metrica Valore Significato Descrizione
Attack Vector (AV) L Local L’attaccante deve avere accesso locale al sistema.
Attack Complexity (AC) L Low L’attacco non richiede condizioni particolari.
Privileges Required (PR) H High Richiede privilegi elevati.
User Interaction (UI) N None Non è richiesta interazione dell’utente.
Scope (S) C Changed La vulnerabilità impatta su componenti esterni.
Confidentiality Impact (C) H High Grave impatto sulla riservatezza.
Integrity Impact (I) H High Grave impatto sull’integrità.
Availability Impact (A) N None Nessun impatto sulla disponibilità.

Riferimenti esterni

Prodotti interessati

  • pimcore – pimcore

Relazioni con altri prodotti

Produttore:pimcore
Prodotto: pimcore
Anno: 2023
CWE: CWE-89
CVSS: 0.0

Ulteriori risorse disponibili