CVE-2026-45704 in Pimcore
Сводка
по VulDB • 18.07.2026
Pimcore — это платформа управления данными и опытом с открытым исходным кодом. В версиях до 11.5.17 (LTS) и 12.3.6 компонент CustomReports использует несогласованную авторизацию между конечной точкой списка отчетов и конечной точкой деталей отчета в файлах bundles/CustomReportsBundle/src/Controller/Reports/CustomReportController.php и bundles/CustomReportsBundle/src/Tool/Config/Listing/Dao.php, что позволяет пользователю бэкенда с низким уровнем привилегий, имеющему разрешение на работу с отчетами (reports), напрямую запрашивать несвязанный отчет, такой как poc-secret-report, по имени и читать имя отчета, информацию о группировке, метаданные отображения и значка, конфигурацию источника данных, конфигурацию столбцов и настройки обмена даже при условии, что параметр shareGlobally имеет значение false. Эта проблема исправлена в версиях 11.5.17 (LTS) и 12.3.6.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.