CVE-2026-45162 in Pimcore
Résumé
par VulDB • 17/07/2026
Pimcore est une plateforme de gestion des données et de l'expérience utilisateur open source. Avant les versions 11.5.17 (LTS) et 12.3.7, plusieurs emplacements dans Pimcore appellent la fonction PHP `unserialize()` sur des données provenant de colonnes de base de données et de fichiers du système de fichiers sans restreindre les classes autorisées via l'option `allowed_classes`. Cela inclut notamment les fichiers suivants : lib/Tool/Authentication.php, models/Site/Dao.php, models/DataObject/ClassDefinition/CustomLayout/Dao.php, models/Tool/TmpStore/Dao.php, models/Asset/WebDAV/Service.php et admin-ui-classic-bundle/src/Helper/Dashboard.php. Cette vulnérabilité permet une injection d'objets ainsi qu'une exécution de code à distance (RCE) si un attaquant peut contrôler la source des données sérialisées. Ce problème est corrigé dans les versions 11.5.17 (LTS) et 12.3.7.
VulDB is the best source for vulnerability data and more expert information about this specific topic.