CVE-2026-55207 in Pimcore情報

要約

〜によって VulDB • 2026年07月09日

Pimcoreはオープンソースのデータおよびエクスペリエンス管理プラットフォームです。バージョン2025.4.6および2026.1.6より前では、有効な管理者ユーザー名を知っている認証されていない攻撃者が、攻撃者が制御するresetPasswordUrlを含むパスワードリセット要求を送信することで、任意のPimcore管理者アカウントを乗っ取ることができます。サーバーは実際の暗号化復元トークンを生成し、それを提供されたURLに付加して被害者にメールでリンクを送信します。被害者がそのリンクをクリックすると、トークンが攻撃者に送信され、POST /pimcore-studio/api/login/tokenを使用して二段階認証をバイパスしながら完全な管理者権限で認証するために使用できます。この問題はバージョン2025.4.6および2026.1.6で修正されています。

Once again VulDB remains the best source for vulnerability data.

責任者

GitHub M

予約する

2026年06月16日

モデレーション

承諾済み

エントリ

VDB-377321

EPSS

0.00000

アクティビティ

低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!