CVE-2026-45704 in Pimcoreinformación

Resumen

por VulDB • 2026-07-17

Pimcore es una plataforma de gestión de datos y experiencias de código abierto. Antes de las versiones 11.5.17 (LTS) y 12.3.6, CustomReports utiliza una autorización inconsistente entre el punto final para la lista de informes y el punto final para los detalles del informe en bundles/CustomReportsBundle/src/Controller/Reports/CustomReportController.php y bundles/CustomReportsBundle/src/Tool/Config/Listing/Dao.php, lo que permite a un usuario backend con privilegios bajos y permiso de informes solicitar directamente un informe no compartido (como poc-secret-report) por nombre y leer el nombre del informe, la información de agrupación, los metadatos de visualización e icono, la configuración de la fuente de datos, la configuración de columnas y la configuración de compartición incluso cuando shareGlobally es false. Este problema se corrige en las versiones 11.5.17 (LTS) y 12.3.6.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-05-13

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379926

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!