PT-2024-5575 · Pimcore · Pimcore Admin Classic Bundle
Mysliwietzflorian
·
Publicado
2024-07-15
·
Atualizado
2024-08-11
·
CVE-2024-41109
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Versões do Pimcore Admin Classic Bundle anteriores à 1.3.10
Versões do Pimcore Admin Classic Bundle anteriores à 1.4.6
Versões do Pimcore Admin Classic Bundle anteriores à 1.5.2
Descrição
Acessar “/admin/index/statistics” com um usuário Pimcore conectado expõe informações sobre a instalação do Pimcore, a versão do PHP, a versão do MySQL, os pacotes instalados e todas as tabelas do banco de dados e sua contagem de linhas no sistema. O servidor web não deve retornar nenhuma informação sobre o produto e a versão dos componentes utilizados. Os nomes das tabelas e as contagens de linhas não devem ser expostos. O endpoint “/admin/index/statistics” retorna uma resposta JSON contendo informações confidenciais.
Recomendações
Para versões do Pimcore Admin Classic Bundle anteriores à 1.3.10, atualize para a versão 1.3.10 ou posterior.
Para versões do Pimcore Admin Classic Bundle anteriores à 1.4.6, atualize para a versão 1.4.6 ou posterior.
Para versões do Pimcore Admin Classic Bundle anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior.
Como solução temporária, considere restringir o acesso ao endpoint “/admin/index/statistics” para minimizar o risco de exploração.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pimcore Admin Classic Bundle