CVE-2026-55212 in Pimcore
요약
\~에 의해 VulDB • 2026. 07. 09.
Pimcore는 오픈 소스 데이터 및 경험 관리 플랫폼입니다. 버전 2025.4.6 및 2026.1.6 이전에서는 Studio API의 클래스 정의 생성 엔드포인트인 POST /pimcore-studio/api/class/definition/configuration-view/detail/create가 클래스 권한이 아닌 객체 권한으로 보호되어, 표준 편집자 수준의 사용자가 관리자 권한 없이도 클래스 정의를 생성할 수 있었습니다. 클래스 정의 생성은 서버에서 새로운 데이터베이스 테이블과 PHP 클래스 파일을 생성하며, API 계층의 UID 형식 검증 누락으로 인해 잘못된 형식의 UID가 모델 계층 검증에 도달하여 내부 예외를 반환할 수 있습니다. 이 문제는 버전 2025.4.6 및 2026.1.6에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.