CVE-2026-45260 in Pimcore
Riassunto
di VulDB • 17/07/2026
Pimcore è una piattaforma Open Source per la gestione dei dati e dell'esperienza utente. Prima delle versioni 11.5.17 (LTS) e 12.3.7, l'endpoint WebDAV degli asset di Pimcore espone un'operazione MOVE attraverso /asset/webdav{path} senza un plugin di autenticazione in bundles/CoreBundle/src/Controller/WebDavController.php; inoltre, models/Asset/WebDAV/Tree.php esegue la modifica e l'eliminazione degli asset tramite models/Asset.php prima di verificare l'utente Pimcore corrente o i permessi di rinomina, eliminazione, creazione o pubblicazione. Ciò consente l'eliminazione non autorizzata, lo spostamento o la sovrascrittura degli asset. Questo problema è stato risolto nelle versioni 11.5.17 (LTS) e 12.3.7.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.