Vulnerabilità: CVE-2019-16317

In Pimcore prima 5.7.1, un attaccante con privilegi limitati può innescare l’esecuzione di un file tramite un .phar phar: // URL in un parametro filename, perché arrivi PHAR non siano bloccate e sono raggiungibili all’interno del phar: //../ directory ../../../../../../../var/www/html/web/var/assets/, una vulnerabilità diverso da quello CVE-2.019-10.867 e CVE-2.019-16.318 .


https://github.com/pimcore/pimcore/commit/6ee5d8536d0802e377594cbe39083e822710aab9
https://snyk.io/vuln/SNYK-PHP-PIMCOREPIMCORE-451599
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16317


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi