CVE-2024-21666

Versões do Pimcore Customer Management Framework anteriores à 4.0.6

A vulnerabilidade permite que um usuário autenticado e não autorizado acesse a lista de possíveis usuários duplicados e visualize seus dados. Isso ocorre porque as permissões não são aplicadas corretamente ao acessar o endpoint “/admin/customermanagementframework/duplicates/list”, permitindo que um usuário autenticado sem as permissões necessárias acesse o endpoint e consulte os dados disponíveis. Como resultado, usuários não autorizados podem acessar informações de identificação pessoal (PII) dos clientes.

Para versões anteriores à 4.0.6, atualize para a versão 4.0.6 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint “/admin/customermanagementframework/duplicates/list” até que a atualização seja aplicada. Além disso, revise e ajuste as funções e permissões dos usuários para garantir que apenas usuários autorizados tenham acesso a dados confidenciais dos clientes.