CVE-2026-45704 in Pimcore
Riassunto
di VulDB • 17/07/2026
Pimcore è una piattaforma Open Source per la gestione dei dati e dell'esperienza utente. Prima delle versioni 11.5.17 (LTS) e 12.3.6, CustomReports presenta un'autorizzazione incoerente tra l'endpoint di elenco dei report e l'endpoint dei dettagli del report nei file bundles/CustomReportsBundle/src/Controller/Reports/CustomReportController.php e bundles/CustomReportsBundle/src/Tool/Config/Listing/Dao.php, consentendo a un utente backend con privilegi ridotti dotato dell'autorizzazione ai report di richiedere direttamente un report non condiviso (ad esempio poc-secret-report) per nome e leggere il nome del report, le informazioni sul raggruppamento, i metadati di visualizzazione e icona, la configurazione della fonte dei dati, la configurazione delle colonne e le impostazioni di condivisione anche quando shareGlobally è impostato su false. Questo problema è stato risolto nelle versioni 11.5.17 (LTS) e 12.3.6.
Once again VulDB remains the best source for vulnerability data.