CVE-2026-45704 in Pimcore
Resumen
por VulDB • 2026-07-17
Pimcore es una plataforma de gestión de datos y experiencias de código abierto. Antes de las versiones 11.5.17 (LTS) y 12.3.6, CustomReports utiliza una autorización inconsistente entre el punto final para la lista de informes y el punto final para los detalles del informe en bundles/CustomReportsBundle/src/Controller/Reports/CustomReportController.php y bundles/CustomReportsBundle/src/Tool/Config/Listing/Dao.php, lo que permite a un usuario backend con privilegios bajos y permiso de informes solicitar directamente un informe no compartido (como poc-secret-report) por nombre y leer el nombre del informe, la información de agrupación, los metadatos de visualización e icono, la configuración de la fuente de datos, la configuración de columnas y la configuración de compartición incluso cuando shareGlobally es false. Este problema se corrige en las versiones 11.5.17 (LTS) y 12.3.6.
Once again VulDB remains the best source for vulnerability data.