CVE-2026-55207 in Pimcore
요약
\~에 의해 VulDB • 2026. 07. 10.
Pimcore는 오픈 소스 데이터 및 경험 관리 플랫폼입니다. 버전 2025.4.6 및 2026.1.6 이전에서는 유효한 관리자 사용자 이름을 알고 있는 인증되지 않은 공격자가 공격자가 제어하는 resetPasswordUrl을 포함하여 비밀번호 재설정 요청을 전송함으로써 모든 Pimcore 관리자 계정을 탈취할 수 있습니다. 서버는 실제 암호학적 복구 토큰을 생성하고 이를 제공된 URL에 추가한 후 해당 링크를 피해자에게 이메일로 발송합니다. 피해자가 이 링크를 클릭하면 토큰이 공격자에게 전달되며, 이는 POST /pimcore-studio/api/login/token 엔드포인트와 함께 사용되어 2단계 인증(2FA)을 우회하면서 전체 관리자 권한으로 인증하는 데 사용할 수 있습니다. 해당 문제는 버전 2025.4.6 및 2026.1.6에서 수정되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.