PT-2025-5999 · Pimcore · Pimcore Admin Classic Bundle

Ayman-Rayan

Publicado

2025-02-07

Atualizado

2025-11-04

CVE-2025-24980

CVSS v4.0

6.9

Média

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

Nome do Software Vulnerável e Versões Afetadas pimcore/admin-ui-classic-bundle versões anteriores à 1.7.4

Descrição O problema refere-se a uma mensagem de erro na função "Esqueci a senha" que revela contas existentes, levando à enumeração de usuários no alvo. Isso permite que atacantes identifiquem nomes de usuário válidos, potencialmente facilitando ataques posteriores.

Recomendações Para versões anteriores à 1.7.4, atualize para a versão 1.7.4 para corrigir o problema. Como solução temporária, considere restringir o acesso à função "Esqueci a senha" até que a atualização seja aplicada.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-204

Identificadores relacionados

CVE-2025-24980

GHSA-VR5F-PHP7-RG24

Produtos afetados

Pimcore Admin Classic Bundle

PT-2025-5999 · Pimcore · Pimcore Admin Classic Bundle

CVE-2025-24980

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 11