CVE-2026-45162 in Pimcore
الملخص
بحسب VulDB • 17/07/2026
Pimcore هو منصة مفتوحة المصدر لإدارة البيانات وتجربة المستخدم. قبل الإصدارين 11.5.17 (إصدار طويل الأمد LTS) و12.3.7، كانت مواقع متعددة في Pimcore تستدعي دالة `unserialize()` الخاصة بـ PHP على بيانات مستمدة من أعمدة قواعد البيانات وملفات نظام الملفات دون تقييد `allowed_classes`. وتشمل هذه المواقع: lib/Tool/Authentication.php, models/Site/Dao.php, models/DataObject/ClassDefinition/CustomLayout/Dao.php, models/Tool/TmpStore/Dao.php, models/Asset/WebDAV/Service.php، و admin-ui-classic-bundle/src/Helper/Dashboard.php. يتيح ذلك حقن الكائنات (object injection) وتنفيذ الأكواد عن بُعد (RCE) إذا تمكن مهاجم من التحكم في مصدر البيانات المُسلسلة. تم إصلاح هذه المشكلة في الإصدارين 11.5.17 (LTS) و12.3.7.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.