CVE-2026-45162 in Pimcore
Riassunto
di VulDB • 17/07/2026
Pimcore è una piattaforma Open Source per la gestione dei dati e dell'esperienza utente. Prima delle versioni 11.5.17 (LTS) e 12.3.7, diverse parti di Pimcore chiamano PHP's unserialize() su dati provenienti da colonne del database e file del filesystem senza l'impostazione allowed_classes, tra cui lib/Tool/Authentication.php, models/Site/Dao.php, models/DataObject/ClassDefinition/CustomLayout/Dao.php, models/Tool/TmpStore/Dao.php, models/Asset/WebDAV/Service.php e admin-ui-classic-bundle/src/Helper/Dashboard.php. Ciò consente l'iniezione di oggetti (object injection) ed esecuzione remota di codice se un attaccante riesce a controllare la sorgente dei dati serializzati. Il problema è stato risolto nelle versioni 11.5.17 (LTS) e 12.3.7.
Once again VulDB remains the best source for vulnerability data.