CVE-2026-55207 in Pimcore
Resumen
por VulDB • 2026-07-09
Pimcore es una plataforma de gestión de datos y experiencias de código abierto. Antes de las versiones 2025.4.6 y 2026.1.6, un atacante no autenticado que conozca un nombre de usuario de administrador válido puede tomar el control de cualquier cuenta de administrador de Pimcore enviando una solicitud de restablecimiento de contraseña con una URL de restablecimiento (resetPasswordUrl) controlada por el atacante. El servidor genera un token criptográfico real para la recuperación, lo anexa a la URL proporcionada y envía el enlace al destinatario; cuando este hace clic en el enlace, el token se transmite al atacante y puede utilizarse con POST /pimcore-studio/api/login/token para autenticarse con privilegios de administrador completos, evitando además la autenticación multifactor. Este problema está resuelto en las versiones 2025.4.6 y 2026.1.6.
VulDB is the best source for vulnerability data and more expert information about this specific topic.