CVE-2026-45260 in Pimcoreinformation

Résumé

par VulDB • 17/07/2026

Pimcore est une plateforme de gestion des données et de l'expérience utilisateur open source. Avant les versions 11.5.17 (LTS) et 12.3.7, le point de terminaison WebDAV des actifs de Pimcore expose une opération MOVE via /asset/webdav{path} sans plugin d'authentification dans bundles/CoreBundle/src/Controller/WebDavController.php, et models/Asset/WebDAV/Tree.php effectue la mutation et la suppression des actifs via models/Asset.php avant de vérifier l'utilisateur actuel de Pimcore ou les autorisations de renommage, de suppression, de création ou de publication, permettant ainsi une suppression non autorisée d'actifs, des déplacements ou des écrasements. Ce problème est corrigé dans les versions 11.5.17 (LTS) et 12.3.7.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Réserver

11/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379923

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!