Vulnerabilidad en Pimcore (CVE-2023-42817)
Severidad:
MEDIA
Type:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/09/2023
Última modificación:
26/09/2023
Descripción
Pimcore admin-ui-classic-bundle proporciona una interfaz de usuario de backend para Pimcore. El valor de traducción con texto que incluye “%s” (de “%suggest%) es analizado por sprintf() aunque se supone que debe enviarse literalmente al usuario. Las traducciones pueden ser accesibles para un usuario con un acceso general comparativamente menor (ya que el permiso de traducción no puede limitarse a ciertos "módulos") y un atacante experto podría explotar el análisis de la cadena de traducción en el cuadro de diálogo. Este problema se solucionó en el commit "abd77392" que se incluye en la versión 1.1.2. Se recomienda a los usuarios que actualicen a la versión 1.1.2 o apliquen el parche manualmente.
Impacto
Puntuación base 3.x
5.40
Severidad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:pimcore:admin_classic_bundle:*:*:*:*:*:pimcore:*:* | 1.1.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página