一、 漏洞 CVE-2023-28108 基础信息
漏洞标题
Pimcore 在调用UUID模型中的“getByUuid”和“exists”方法时,对列的引用存在错误。
来源:AIGC 神龙大模型
漏洞描述信息
Pimcore在调用UUID模型的"getByUuid"和"exists"方法时,列的引号使用不正确。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Pimcore has improper quoting of columns when calling methods "getByUuid" & "exists" on UUID Model
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Pimcore is an open source data and experience management platform. Prior to version 10.5.19, quoting is not done properly in UUID DAO model. There is the theoretical possibility to inject custom SQL if the developer is using this methods with input data and not doing proper input validation in advance and so relies on the auto-quoting being done by the DAO class. Users should update to version 10.5.19 to receive a patch or, as a workaround, apply the patch manually.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Pimcore SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Pimcore是奥地利Pimcore公司的一套开源的用于创建和管理Web应用程序的Web内容管理平台。该平台集成了Web内容管理、电子商务框架和产品信息管理等应用。 Pimcore 10.5.19之前版本存在SQL注入漏洞,该漏洞源于UUID DAO模型中的引用未正确完成。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-28108 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-28108 的情报信息