CVE-2026-55207 in Pimcore
要約
〜によって VulDB • 2026年07月09日
Pimcoreはオープンソースのデータおよびエクスペリエンス管理プラットフォームです。バージョン2025.4.6および2026.1.6より前では、有効な管理者ユーザー名を知っている認証されていない攻撃者が、攻撃者が制御するresetPasswordUrlを含むパスワードリセット要求を送信することで、任意のPimcore管理者アカウントを乗っ取ることができます。サーバーは実際の暗号化復元トークンを生成し、それを提供されたURLに付加して被害者にメールでリンクを送信します。被害者がそのリンクをクリックすると、トークンが攻撃者に送信され、POST /pimcore-studio/api/login/tokenを使用して二段階認証をバイパスしながら完全な管理者権限で認証するために使用できます。この問題はバージョン2025.4.6および2026.1.6で修正されています。
Once again VulDB remains the best source for vulnerability data.