目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2023-30852— Pimcore 路径遍历漏洞

CVSS 4.4 · Medium EPSS 0.01% · P1
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2023-30852の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Pimcore Arbitrary File Read in Admin JS CSS files
ソース: NVD (National Vulnerability Database)
脆弱性説明
Pimcore is an open source data and experience management platform. Prior to version 10.5.21, the `/admin/misc/script-proxy` API endpoint that is accessible by an authenticated administrator user is vulnerable to arbitrary JavaScript and CSS file read via the `scriptPath` and `scripts` parameters. The `scriptPath` parameter is not sanitized properly and is vulnerable to path traversal attack. Any JavaScript/CSS file from the application server can be read by specifying sufficient number of `../` patterns to go out from the application webroot followed by path of the folder where the file is located in the "scriptPath" parameter and the file name in the "scripts" parameter. The JavaScript file is successfully read only if the web application has read access to it. Users should update to version 10.5.21 to receive a patch or, as a workaround, apply the patch manual.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
对路径名的限制不恰当(路径遍历)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Pimcore 路径遍历漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Pimcore是奥地利Pimcore公司的一套开源的用于创建和管理Web应用程序的Web内容管理平台。该平台集成了Web内容管理、电子商务框架和产品信息管理等应用。 Pimcore 10.5.21之前版本存在路径遍历漏洞,该漏洞源于admin/misc/script-proxy API端点容易受到通过scriptPath和scripts参数读取的任意 JavaScript 和 CSS 文件的攻击,scriptPath参数未正确清理,容易受到路径遍历攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
pimcorepimcore < 10.5.21 -

II. CVE-2023-30852の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2023-30852のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · pimcore · 2023-04-27 · 15 CVEs total

CVE-2023-308508.8 HIGHPimcore SQL Injection Vulnerability in Admin Translations API
CVE-2023-308498.8 HIGHPimcore vulnerable to SQL Injection in Translation Export API
CVE-2023-308488.8 HIGHPimcore SQL Injection Vulnerability in Admin Search Find API
CVE-2023-2343Cross-site Scripting (XSS) - DOM in pimcore/pimcore
CVE-2023-2342Cross-site Scripting (XSS) - Reflected in pimcore/pimcore
CVE-2023-2341Cross-site Scripting (XSS) - Generic in pimcore/pimcore
CVE-2023-2340Cross-site Scripting (XSS) - Stored in pimcore/pimcore
CVE-2023-2339Cross-site Scripting (XSS) - Reflected in pimcore/pimcore
CVE-2023-2338 SQL Injection in pimcore/pimcore
CVE-2023-2336Path Traversal in pimcore/pimcore
CVE-2023-2328Cross-site Scripting (XSS) - Generic in pimcore/pimcore
CVE-2023-2327Cross-site Scripting (XSS) - Stored in pimcore/pimcore
CVE-2023-2323Cross-site Scripting (XSS) - Stored in pimcore/pimcore
CVE-2023-2322Cross-site Scripting (XSS) - Stored in pimcore/pimcore

IV. 関連脆弱性

同じ製品: pimcore
同じベンダー: pimcore
同じ弱点: CWE-22

V. CVE-2023-30852へのコメント

まだコメントはありません

コメントを残す