Pimcore

Pimcore

130 Schwachstellen gefunden.

Hinweis: Diese Liste kann unvollständig sein. Daten werden ohne Gewähr im Ursprungsformat bereitgestellt.
8.8

CVE-2019-16317

  • EPSS 1.7%
  • Veröffentlicht 14.09.2019 18:15:11
  • Zuletzt bearbeitet 21.11.2024 04:30:30

In Pimcore before 5.7.1, an attacker with limited privileges can trigger execution of a .phar file via a phar:// URL in a filename parameter, because PHAR uploads are not blocked and are reachable within the phar://../../../../../../../../var/www/htm...

8.8

CVE-2019-16318

  • EPSS 1.4%
  • Veröffentlicht 14.09.2019 18:15:11
  • Zuletzt bearbeitet 21.11.2024 04:30:30

In Pimcore before 5.7.1, an attacker with limited privileges can bypass file-extension restrictions via a 256-character filename, as demonstrated by the failure of automatic renaming of .php to .php.txt for long filenames, a different vulnerability t...

8.8

CVE-2019-10867

Exploit
  • EPSS 69.36%
  • Veröffentlicht 04.04.2019 18:29:00
  • Zuletzt bearbeitet 21.11.2024 04:20:00

An issue was discovered in Pimcore before 5.7.1. An attacker with classes permission can send a POST request to /admin/class/bulk-commit, which will make it possible to exploit the unserialize function when passing untrusted values in the data parame...

5.4

CVE-2018-14059

Exploit
  • EPSS 3.12%
  • Veröffentlicht 24.08.2018 22:29:00
  • Zuletzt bearbeitet 21.11.2024 03:48:32

Pimcore allows XSS via Users, Assets, Data Objects, Video Thumbnails, Image Thumbnails, Field-Collections, Objectbrick, Classification Store, Document Types, Predefined Properties, Predefined Asset Metadata, Quantity Value, and Static Routes function...

8.8

CVE-2018-14057

Exploit
  • EPSS 3.34%
  • Veröffentlicht 17.08.2018 18:29:00
  • Zuletzt bearbeitet 21.11.2024 03:48:32

Pimcore before 5.3.0 allows remote attackers to conduct cross-site request forgery (CSRF) attacks by leveraging validation of the X-pimcore-csrf-token anti-CSRF token only in the "Settings > Users / Roles" function.

6.5

CVE-2018-14058

Exploit
  • EPSS 28.95%
  • Veröffentlicht 17.08.2018 18:29:00
  • Zuletzt bearbeitet 21.11.2024 03:48:32

Pimcore before 5.3.0 allows SQL Injection via the REST web service API.

7.5

CVE-2015-4426

Exploit
  • EPSS 2.1%
  • Veröffentlicht 18.08.2015 17:59:06
  • Zuletzt bearbeitet 06.05.2026 22:30:45

SQL injection vulnerability in pimcore before build 3473 allows remote attackers to execute arbitrary SQL commands via the filter parameter to admin/asset/grid-proxy.

4.9

CVE-2015-4425

Exploit
  • EPSS 3.81%
  • Veröffentlicht 18.08.2015 17:59:01
  • Zuletzt bearbeitet 06.05.2026 22:30:45

Directory traversal vulnerability in pimcore before build 3473 allows remote authenticated users with the "assets" permission to create or write to arbitrary files via a .. (dot dot) in the dir parameter to admin/asset/add-asset-compatibility.

7.5

CVE-2014-2921

Exploit
  • EPSS 7.26%
  • Veröffentlicht 21.04.2014 22:55:08
  • Zuletzt bearbeitet 06.05.2026 22:30:45

The getObjectByToken function in Newsletter.php in the Pimcore_Tool_Newsletter module in pimcore 1.4.9 through 2.0.0 does not properly handle an object obtained by unserializing Lucene search data, which allows remote attackers to conduct PHP object ...

6.4

CVE-2014-2922

Exploit
  • EPSS 2.9%
  • Veröffentlicht 21.04.2014 22:55:08
  • Zuletzt bearbeitet 06.05.2026 22:30:45

The getObjectByToken function in Newsletter.php in the Pimcore_Tool_Newsletter module in pimcore 1.4.9 through 2.1.0 does not properly handle an object obtained by unserializing a pathname, which allows remote attackers to conduct PHP object injectio...