CVE-2026-45162 in Pimcore
Zusammenfassung
von VulDB • 17.07.2026
Pimcore ist eine Open-Source-Daten- und Experience-Management-Plattform. Vor den Versionen 11.5.17 (LTS) und 12.3.7 rufen mehrere Pimcore-Komponenten PHPs `unserialize()` auf Daten aus Datenbankspalten und Dateisystemdateien ohne die Einschränkung von `allowed_classes` auf, darunter lib/Tool/Authentication.php, models/Site/Dao.php, models/DataObject/ClassDefinition/CustomLayout/Dao.php, models/Tool/TmpStore/Dao.php, models/Asset/WebDAV/Service.php und admin-ui-classic-bundle/src/Helper/Dashboard.php. Dies ermöglicht Object Injection und Remote Code Execution (RCE), wenn ein Angreifer die Quelle der serialisierten Daten kontrollieren kann. Dieses Problem wurde in den Versionen 11.5.17 (LTS) und 12.3.7 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.