CVE-2026-45162 in Pimcore
Tóm tắt
Bởi VulDB • 17/07/2026
Pimcore là một nền tảng quản lý dữ liệu và trải nghiệm mã nguồn mở. Trước phiên bản 11.5.17 (LTS) và 12.3.7, nhiều vị trí trong Pimcore gọi hàm unserialize() của PHP trên dữ liệu từ các cột cơ sở dữ liệu và tệp tin hệ thống tập tin mà không có giới hạn allowed_classes, bao gồm lib/Tool/Authentication.php, models/Site/Dao.php, models/DataObject/ClassDefinition/CustomLayout/Dao.php, models/Tool/TmpStore/Dao.php, models/Asset/WebDAV/Service.php, và admin-ui-classic-bundle/src/Helper/Dashboard.php, cho phép tiêm đối tượng (object injection) và thực thi mã từ xa nếu kẻ tấn công có thể kiểm soát nguồn dữ liệu đã được serialize. Vấn đề này đã được sửa chữa trong các phiên bản 11.5.17 (LTS) và 12.3.7.
Be aware that VulDB is the high quality source for vulnerability data.