CVE-2026-55207 in Pimcoreinformación

Resumen

por VulDB • 2026-07-09

Pimcore es una plataforma de gestión de datos y experiencias de código abierto. Antes de las versiones 2025.4.6 y 2026.1.6, un atacante no autenticado que conozca un nombre de usuario de administrador válido puede tomar el control de cualquier cuenta de administrador de Pimcore enviando una solicitud de restablecimiento de contraseña con una URL de restablecimiento (resetPasswordUrl) controlada por el atacante. El servidor genera un token criptográfico real para la recuperación, lo anexa a la URL proporcionada y envía el enlace al destinatario; cuando este hace clic en el enlace, el token se transmite al atacante y puede utilizarse con POST /pimcore-studio/api/login/token para autenticarse con privilegios de administrador completos, evitando además la autenticación multifactor. Este problema está resuelto en las versiones 2025.4.6 y 2026.1.6.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-06-16

Divulgación

2026-07-10

Moderación

aceptado

Artículo

VDB-377321

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!