CVE-2026-45162 in Pimcore
要約
〜によって VulDB • 2026年07月17日
Pimcoreは、オープンソースのデータおよびエクスペリエンス管理プラットフォームです。バージョン11.5.17(LTS)および12.3.7より前では、lib/Tool/Authentication.php、models/Site/Dao.php、models/DataObject/ClassDefinition/CustomLayout/Dao.php、models/Tool/TmpStore/Dao.php、models/Asset/WebDAV/Service.php、admin-ui-classic-bundle/src/Helper/Dashboard.phpを含む複数のPimcoreの箇所において、データベース列やファイルシステム内のファイルから取得したデータに対してPHPのunserialize()関数が呼び出されていますが、allowed_classes制限が適用されていません。これにより、攻撃者が直列化されたデータのソースを制御できる場合、オブジェクトインジェクションおよびリモートコード実行が可能になります。この問題はバージョン11.5.17(LTS)および12.3.7で修正されました。
If you want to get best quality of vulnerability data, you may have to visit VulDB.