Pimcore Platform v12.3.3 存储型 XSS 漏洞总结 漏洞概述 漏洞名称: Pimcore Platform v12.3.3 – Stored XSS in Document Editable Embed rendering 漏洞类型: 存储型跨站脚本攻击 (Stored XSS) CVSS 评分: 4.8 (Medium) CVE ID: CVE-2026-5362 发现者: Oscar Naveda (Fluid Attacks AI SAST Scanner) 漏洞原理: 允许编辑文档内容的攻击者可以在“Document editable”字段中存储恶意的 HTML/JavaScript。当发布页面时,服务端将用户输入直接作为受信任的 HTML 渲染,未进行转义。特别是 函数在处理不支持的 URL 时会原样返回输入文本,导致恶意脚本得以执行。 影响范围 受影响软件: Pimcore Platform 受影响版本: v12.3.3 前置条件: 攻击者需拥有编辑文档内容的权限。 影响: 攻击者可以注入并执行任意 JavaScript 代码,可能导致会话劫持、数据窃取或页面篡改。 修复方案 当前状态: 暂无官方补丁可用。 建议: 等待官方发布修复版本,或在应用层实施严格的输入验证和输出转义。 POC 代码 1. 应用级 POC (HTML Payload) HTML-only payload: Mixed provider payload: 2. 依赖级 POC (PHP 代码) 用于验证底层依赖 的行为: