CVE-2026-45162 in Pimcoreinformation

Résumé

par VulDB • 17/07/2026

Pimcore est une plateforme de gestion des données et de l'expérience utilisateur open source. Avant les versions 11.5.17 (LTS) et 12.3.7, plusieurs emplacements dans Pimcore appellent la fonction PHP `unserialize()` sur des données provenant de colonnes de base de données et de fichiers du système de fichiers sans restreindre les classes autorisées via l'option `allowed_classes`. Cela inclut notamment les fichiers suivants : lib/Tool/Authentication.php, models/Site/Dao.php, models/DataObject/ClassDefinition/CustomLayout/Dao.php, models/Tool/TmpStore/Dao.php, models/Asset/WebDAV/Service.php et admin-ui-classic-bundle/src/Helper/Dashboard.php. Cette vulnérabilité permet une injection d'objets ainsi qu'une exécution de code à distance (RCE) si un attaquant peut contrôler la source des données sérialisées. Ce problème est corrigé dans les versions 11.5.17 (LTS) et 12.3.7.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Réserver

08/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379911

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!