一、 漏洞 CVE-2026-23492 基础信息
漏洞信息
# Pimcore Admin搜索API盲注漏洞
## 概述
Pimcore 是一个开源的数据与体验管理平台。在版本 12.3.1 和 11.5.14 之前,Admin Search Find API 中存在一个不完整的 SQL 注入修补程序,允许经过身份验证的攻击者实施盲 SQL 注入攻击。
## 影响版本
- Pimcore < 12.3.1
- Pimcore < 11.5.14
## 细节
此前用于修复 CVE-2023-30848 的措施试图通过移除 SQL 注释(`--`)和捕获语法错误来缓解 SQL 注入,但该修复不完整。攻击者可构造不依赖注释的 SQL 负载,并利用盲注技术通过响应差异逐步推断数据库信息。该漏洞位于管理员搜索接口中。
## 影响
经过身份验证的攻击者可利用此漏洞对数据库执行盲 SQL 注入,导致数据库信息泄露。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Pimcore has a Blind SQL Injection in Admin Search Find API due to an incomplete fix for CVE-2023-30848
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Pimcore is an Open Source Data & Experience Management Platform. Prior to 12.3.1 and 11.5.14, an incomplete SQL injection patch in the Admin Search Find API allows an authenticated attacker to perform blind SQL injection. Although CVE-2023-30848 attempted to mitigate SQL injection by removing SQL comments (--) and catching syntax errors, the fix is insufficient. Attackers can still inject SQL payloads that do not rely on comments and infer database information via blind techniques. This vulnerability affects the admin interface and can lead to database information disclosure. This vulnerability is fixed in 12.3.1 and 11.5.14.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Pimcore SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Pimcore是奥地利Pimcore公司的一套开源的用于创建和管理Web应用程序的Web内容管理平台。该平台集成了Web内容管理、电子商务框架和产品信息管理等应用。 Pimcore 12.3.1之前版本和11.5.14之前版本存在SQL注入漏洞,该漏洞源于管理员搜索查找API中的SQL注入补丁不完整,可能导致经过身份验证的攻击者执行盲SQL注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2026-23492 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-23492 的情报信息
标题: (Incomplete Patch )[Blind SQL Injection] in Admin Search Find API · Advisory · pimcore/pimcore · GitHub -- 🔗来源链接
标签:x_refsource_CONFIRM
神龙速读:## 关键信息总结 - **漏洞名称**: (Incomplete Patch) [Blind SQL Injection] in Admin Search Find API - **CVE ID**: CVE-2026-23492 - **漏洞类型**: 盲注SQL注入 - **受影响版本**: <= 12.3 <= 11.5.13 - **修复版本**: 12.3.1 11.5.14 - **严重性**: 高 ### 漏洞描述 **摘要**: 一个不完整的SQL注入补丁在Admin Search Find API中允许经过身份验证的攻击者执行盲注SQL注入。尽管CVE-2023-30848尝试通过删除SQL注释和捕获语法错误来缓解SQL注入,但修复是不充分的。攻击者仍然可以注入不依赖注释的SQL有效载荷,并通过盲注技术推断数据库信息。此漏洞影响管理界面,并可能导致**数据库信息泄露**。 **问题详细**: 漏洞存在于Admin Search Find API端点:`/admin/search/search/find` **关键更改**: 以CVE-2023-30848为例,以下补丁被应用: - 移除SQL注释`--` - 捕获SQL语法错误并用一个通用异常替换 **问题原因**: 1. 只过滤了`--`,SQL注入并不需要SQL注释。 2. 只是抑制了错误输出,SQL语句仍然被执行。 3. 用户控制的输入仍然用于SQL查询构建。 ### 影响 - **受影响的用户**: 暴露管理搜索API的系统对认证用户存在风险。 - **攻击要求**: 认证访问管理界面 - **潜在影响**: - 数据库结构枚举 - 通过盲注SQL注入提取敏感数据 - 可能导致数据库被完全控制,依赖数据库权限。![(Incomplete Patch )[Blind SQL Injection] in Admin Search Find API · Advisory · pimcore/pimcore · GitHub](https://cvepdf.imfht.com:2443//ti_screenshot/2026-01-20/screenshot-full-2026-01-20T00-52-26.819Z-68642aacba98f074b2ad.webp)
标题: Remove sql comments and add different exception on syntax error (#14972) · pimcore/pimcore@25ad867 · GitHub -- 🔗来源链接
标签:x_refsource_MISC
神龙速读:从这个GitHub提交截图中,可以获取以下关于漏洞的关键信息: - **提交信息**: 移除了SQL注释,并在语法错误时添加了不同的异常处理。 - **关联问题**: 解决了编号为#14972的问题。 - **代码修改**: - 在`SearchController.php`文件中,引入了`Doctrine\DBAL\Exception\SyntaxErrorException`。 - 新增代码行用于移除SQL字符串中的注释,通过`str_replace('--', '', $fields)`实现,可能为了防止SQL注入攻击。 - 包含了try-catch语句,捕获`SyntaxErrorException`,并在此情况下抛出`InvalidArgumentException`,提示检查输入参数。 - **变化**: 代码中增加了异常处理,以改进对错误的响应,确保程序在遇到语法错误时能提供更明确的错误提示。
- https://nvd.nist.gov/vuln/detail/CVE-2026-23492
四、漏洞 CVE-2026-23492 的评论
匿名用户
2026-01-15 06:08:15Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.