Hacking/CVE Report
[CVE-2023-1312] Certain versions of Pimcore/pimcore from Pimcore contain the following vulnerability
crattack
2023. 3. 11. 14:45
반응형
ref
배경
- github 내의 Reflected 환경에서의 Cross-site Scripting 취약점 발견
- 해당 취약점은 pimcore v10.5.19 이하 버전에서 발견
분석
- pimcore는 Application Logger 모듈 검색할 때 From 및 To 필드에서 Reflected XSS에 취약
- 테스트
- https://demo.pimcore.fun/admin/ 접속
- Tools → Application Logger
- Search 란에 Payload 아래 Payload 입력
"><img src=x onerror=alert(document.domain);>
패치 방법
- 업데이트
- v10.5.19 보다 높은 버전으로 업데이트 진행 필요
반응형