CVE-2026-27461

Nome do Software Vulnerável e Versões Afetadas Versões do Pimcore até e incluindo a 11.5.14.1 Versões do Pimcore até e incluindo a 12.3.2

Descrição O Pimcore é uma Plataforma de Gerenciamento de Dados e Experiência de Código Aberto. O parâmetro filter query nos endpoints de listagem de dependências é processado sem a devida sanitização, permitindo a potencial extração do banco de dados. Especificamente, o parâmetro é decodificado em JSON e seu valor é incorporado diretamente em cláusulas RLIKE sem medidas de segurança adequadas. A exploração bem-sucedida requer autenticação administrativa. Um invasor com acesso ao painel administrativo poderia potencialmente extrair todo o banco de dados, incluindo hashes de senha de outros usuários administrativos. Os endpoints afetados envolvem a funcionalidade de listagem de dependências. O parâmetro vulnerável é filter query.

Recomendações Atualize para a versão 12.3.3 ou posterior do Pimcore.