CVE-2024-21667

Versões do pimcore/customer-data-framework anteriores à 4.0.6

Um usuário autenticado e não autorizado pode acessar o recurso de extração de dados do GDPR e consultar as informações retornadas, levando à exposição dos dados dos clientes. As permissões não são aplicadas ao acessar o endpoint “/admin/customermanagementframework/gdpr-data/search-data-objects”, permitindo que um usuário autenticado sem as permissões necessárias acesse o endpoint e consulte os dados disponíveis nele. Um usuário não autorizado pode acessar dados de identificação pessoal (PII) dos clientes.

Para versões anteriores à 4.0.6, atualize para a versão 4.0.6 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint “/admin/customermanagementframework/gdpr-data/search-data-objects” até que a atualização seja aplicada. Além disso, revise e aplique as permissões adequadas para todos os usuários, a fim de impedir o acesso não autorizado aos dados dos clientes.