SQL Injection, XSS & CSRF Schwachstellen In Pimcore Software

Title

SQL Injection, XSS & CSRF vulnerabilities

Product

Pimcore

Vulnerable Version

5.2.3 and below

Fixed Version

5.3.0

CVE Number

CVE-2018-14057, CVE-2018-14058, CVE-2018-14059

Impact

high

Found

06.10.2018

By

T. Silpavarangkura, N. Rai-Ngoen (Office Bangkok) | SEC Consult Vulnerability Lab

Pimcore ist von mehreren Sicherheitslücken betroffen, die von einem Angreifer ausgenutzt werden können, um Datensätze aus der Datenbank zu lesen, andere Benutzer der Webanwendung mit JavaScript-Code, Browser-Exploits oder Trojanischen Pferden anzugreifen und willkürliche Aktionen im Kontext des angemeldeten Benutzers (CSRF) durchzuführen.

Zum vollständigen Advisory (Englisch).

EOF Thongchai Silpavarangkura / @2018

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern?
Kontaktieren Sie unsere lokalen Büros.