CVE

Vulnerabilidad en Pimcore (CVE-2023-42817)

Severidad:
MEDIA
Type:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
25/09/2023
Última modificación:
26/09/2023

Descripción

Pimcore admin-ui-classic-bundle proporciona una interfaz de usuario de backend para Pimcore. El valor de traducción con texto que incluye “%s” (de “%suggest%) es analizado por sprintf() aunque se supone que debe enviarse literalmente al usuario. Las traducciones pueden ser accesibles para un usuario con un acceso general comparativamente menor (ya que el permiso de traducción no puede limitarse a ciertos "módulos") y un atacante experto podría explotar el análisis de la cadena de traducción en el cuadro de diálogo. Este problema se solucionó en el commit "abd77392" que se incluye en la versión 1.1.2. Se recomienda a los usuarios que actualicen a la versión 1.1.2 o apliquen el parche manualmente.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:pimcore:admin_classic_bundle:*:*:*:*:*:pimcore:*:* 1.1.2 (excluyendo)