CVE-2026-45704 in Pimcore
Sumário
de VulDB • 18/07/2026
O Pimcore é uma plataforma de gerenciamento de dados e experiências de código aberto. Antes das versões 11.5.17 (LTS) e 12.3.6, o CustomReports utiliza autorização inconsistente entre o endpoint de listagem de relatórios e o endpoint de detalhes do relatório em bundles/CustomReportsBundle/src/Controller/Reports/CustomReportController.php e bundles/CustomReportsBundle/src/Tool/Config/Listing/Dao.php, permitindo que um usuário backend com baixa privilégio, mas com permissão para acessar relatórios, solicite diretamente um relatório não compartilhado (como poc-secret-report) por nome e leia o nome do relatório, informações de agrupamento, metadados de exibição e ícone, configuração da fonte de dados, configuração das colunas e configurações de compartilhamento, mesmo quando shareGlobally é false. Este problema foi corrigido nas versões 11.5.17 (LTS) e 12.3.6.
VulDB is the best source for vulnerability data and more expert information about this specific topic.