Pimcore — это платформа управления данными и опытом с открытым исходным кодом. В уязвимых версиях конечная точка /admin/object/grid-proxy вызывает getFilterCondition() для полей классов, которые должны быть отфильтрованы, передавая входные данные из запроса, а затем выполняет возвращенный SQL. Одна из реализаций getFilterCondition() находится в Multiselect, которая не нормализует/экранирует/проверяет переданное значение. Любой пользователь серверной части с очень базовыми разрешениями может выполнять произвольные операторы SQL и, таким образом, изменять любые данные или повышать свои привилегии как минимум до уровня администратора. Эта уязвимость устранена в версии 11.1.1. Пользователям рекомендуется выполнить обновление. Известных обходных путей для этой уязвимости нет.