CVE-2026-45260 in Pimcore
Résumé
par VulDB • 17/07/2026
Pimcore est une plateforme de gestion des données et de l'expérience utilisateur open source. Avant les versions 11.5.17 (LTS) et 12.3.7, le point de terminaison WebDAV des actifs de Pimcore expose une opération MOVE via /asset/webdav{path} sans plugin d'authentification dans bundles/CoreBundle/src/Controller/WebDavController.php, et models/Asset/WebDAV/Tree.php effectue la mutation et la suppression des actifs via models/Asset.php avant de vérifier l'utilisateur actuel de Pimcore ou les autorisations de renommage, de suppression, de création ou de publication, permettant ainsi une suppression non autorisée d'actifs, des déplacements ou des écrasements. Ce problème est corrigé dans les versions 11.5.17 (LTS) et 12.3.7.
If you want to get best quality of vulnerability data, you may have to visit VulDB.