Mysliwietzflorian

**Nome do software vulnerável e versões afetadas** Versões do Pimcore Admin Classic Bundle anteriores à 1.3.10 Versões do Pimcore Admin Classic Bundle anteriores à 1.4.6 Versões do Pimcore Admin Classic Bundle anteriores à 1.5.2 **Descrição** Acessar “/admin/index/statistics” com um usuário Pimcore conectado expõe informações sobre a instalação do Pimcore, a versão do PHP, a versão do MySQL, os pacotes instalados e todas as tabelas do banco de dados e sua contagem de linhas no sistema. O servidor web não deve retornar nenhuma informação sobre o produto e a versão dos componentes utilizados. Os nomes das tabelas e as contagens de linhas não devem ser expostos. O endpoint “/admin/index/statistics” retorna uma resposta JSON contendo informações confidenciais. **Recomendações** Para versões do Pimcore Admin Classic Bundle anteriores à 1.3.10, atualize para a versão 1.3.10 ou posterior. Para versões do Pimcore Admin Classic Bundle anteriores à 1.4.6, atualize para a versão 1.4.6 ou posterior. Para versões do Pimcore Admin Classic Bundle anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior. Como solução temporária, considere restringir o acesso ao endpoint “/admin/index/statistics” para minimizar o risco de exploração.