一、 漏洞 CVE-2023-30855 基础信息
漏洞标题
"AdminBundle/Controller/Reports/CustomReportController.php" 中的 Pimcore 路径遍历漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Pimcore AdminBundle/Controller/Reports/CustomReportController.php路径遍历漏洞
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
Pimcore Path Traversal Vulnerability in AdminBundle/Controller/Reports/CustomReportController.php
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Pimcore is an open source data and experience management platform. Versions of Pimcore prior to 10.5.18 are vulnerable to path traversal. The impact of this path traversal and arbitrary extension is limited to creation of arbitrary files and appending data to existing files. When combined with the SQL Injection, the exported data `RESTRICTED DIFFUSION 9 / 9` can be controlled and a webshell can be uploaded. Attackers can use that to execute arbitrary PHP code on the server with the permissions of the webserver. Users may upgrade to version 10.5.18 to receive a patch or, as a workaround, apply the patch manually.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Pimcore 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Pimcore是奥地利Pimcore公司的一套开源的用于创建和管理Web应用程序的Web内容管理平台。该平台集成了Web内容管理、电子商务框架和产品信息管理等应用。 Pimcore 10.5.18 之前版本存在路径遍历漏洞,攻击者利用该漏洞可以在具有网络服务器权限的服务器上执行任意 PHP 代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-30855 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-30855 的情报信息