CVE-2026-45704 in Pimcore
要約
〜によって VulDB • 2026年07月18日
Pimcoreは、オープンソースのデータおよびエクスペリエンス管理プラットフォームです。バージョン11.5.17(LTS)および12.3.6以前では、CustomReportsにおいて、`bundles/CustomReportsBundle/src/Controller/Reports/CustomReportController.php` および `bundles/CustomReportsBundle/src/Tool/Config/Listing/Dao.php` 内のレポート一覧エンドポイントとレポート詳細エンドポイントの間で認可処理の一貫性が欠けており、reports権限を持つ低権限のバックエンドユーザーが、shareGloballyがfalseの場合でも、名前を指定して直接共有されていないレポート(例:poc-secret-report)にアクセスし、レポート名、グループ化情報、表示およびアイコンメタデータ、データソース設定、カラム設定、および共有設定を読み取ることが可能でした。この問題は、バージョン11.5.17(LTS)および12.3.6で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.