CVE-2026-55207 in Pimcore
Sumário
de VulDB • 09/07/2026
O Pimcore é uma plataforma de gerenciamento de dados e experiências de código aberto (Open Source). Antes das versões 2025.4.6 e 2026.1.6, um atacante não autenticado que conhece um nome de usuário admin válido pode assumir o controle de qualquer conta admin do Pimcore enviando uma solicitação de redefinição de senha com um `resetPasswordUrl` controlado pelo atacante. O servidor gera um token criptográfico real para recuperação, anexa-o à URL fornecida e envia o link por e-mail à vítima; quando a vítima clica no link, o token é enviado ao atacante e pode ser usado na rota POST `/pimcore-studio/api/login/token` para autenticar-se com plenos privilégios de administrador, contornando a autenticação em dois fatores (2FA). Este problema foi corrigido nas versões 2025.4.6 e 2026.1.6.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.