Pimcore 路径穿越漏洞

• 漏洞编号：CVE-2023-2984
  
• 漏洞类型：路径遍历
• 漏洞等级：中危
• 发布时间：2023-06-02

漏洞描述：

Pimcore 是一个开源的多功能企业级内容管理系统 (CMS) 和数据管理平台。

2023年5月30日，Pimcore中一处路径遍历漏洞细节于huntr网站公开。

pimcore 10.5.22版本之前版本中由于 Pimcore 类中未对用户传入的 pimcore_log 正确过滤，远程攻击者可以构造的 pimcore_log 参数(如：\..\filename)覆盖或修改敏感文件，并导致潜在的拒绝服务攻击。

影响版本：

Pimcore<10.5.22

修复建议

官方已发布新版本中修复上述漏洞，受影响用户请尽快升级到安全版本。

漏洞修复版本：

Pimcore >= 10.5.22

下载链接:

https://github.com/pimcore/pimcore/releases