Wisconaut

**Nome do software vulnerável e versões afetadas** Versões do Pimcore Ecommerce Framework Bundle anteriores à 1.0.10 **Descrição** A vulnerabilidade permite que um usuário autenticado e não autorizado acesse a lista de pedidos do back-office e consulte as informações retornadas devido à falta de controle de acesso e permissões adequados. Isso pode ser feito acessando o endpoint `admin/ecommerceframework/admin-order/list`, que parece não validar as permissões do usuário. Como resultado, um usuário não autorizado pode acessar os pedidos do back-office sem a devida autorização. **Recomendações** Para versões anteriores à 1.0.10, atualize para a versão 1.0.10 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `admin/ecommerceframework/admin-order/list` até que a atualização seja aplicada. Além disso, verifique e certifique-se de que todos os usuários tenham permissões e controles de acesso adequados para impedir o acesso não autorizado a dados confidenciais.

**Nome do software vulnerável e versões afetadas** Versões do Pimcore Customer Management Framework anteriores à 4.0.6 **Descrição** A vulnerabilidade permite que um usuário autenticado e não autorizado acesse a lista de possíveis usuários duplicados e visualize seus dados. Isso ocorre porque as permissões não são aplicadas corretamente ao acessar o endpoint “/admin/customermanagementframework/duplicates/list”, permitindo que um usuário autenticado sem as permissões necessárias acesse o endpoint e consulte os dados disponíveis. Como resultado, usuários não autorizados podem acessar informações de identificação pessoal (PII) dos clientes. **Recomendações** Para versões anteriores à 4.0.6, atualize para a versão 4.0.6 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint “/admin/customermanagementframework/duplicates/list” até que a atualização seja aplicada. Além disso, revise e ajuste as funções e permissões dos usuários para garantir que apenas usuários autorizados tenham acesso a dados confidenciais dos clientes.

**Nome do software vulnerável e versões afetadas** Versões do pimcore/customer-data-framework anteriores à 4.0.6 **Descrição** Um usuário autenticado e não autorizado pode acessar o recurso de extração de dados do GDPR e consultar as informações retornadas, levando à exposição dos dados dos clientes. As permissões não são aplicadas ao acessar o endpoint “/admin/customermanagementframework/gdpr-data/search-data-objects”, permitindo que um usuário autenticado sem as permissões necessárias acesse o endpoint e consulte os dados disponíveis nele. Um usuário não autorizado pode acessar dados de identificação pessoal (PII) dos clientes. **Recomendações** Para versões anteriores à 4.0.6, atualize para a versão 4.0.6 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint “/admin/customermanagementframework/gdpr-data/search-data-objects” até que a atualização seja aplicada. Além disso, revise e aplique as permissões adequadas para todos os usuários, a fim de impedir o acesso não autorizado aos dados dos clientes.