CVE-2026-23495

Nome do Software Vulnerável e Versões Afetadas Versões do Pimcore anteriores a 2.2.3 e versões anteriores a 1.7.16

Descrição O endpoint da API para listar Propriedades Predefinidas na plataforma Pimcore não possui verificações adequadas de autorização no lado do servidor. Propriedades Predefinidas são definições configuráveis de metadados utilizadas em documentos, ativos e objetos para padronizar atributos personalizados. Um usuário autenticado do backend sem permissões explícitas para gerenciamento de propriedades pode chamar o endpoint e recuperar a lista completa dessas configurações. Isso permite acesso não autorizado a recursos administrativos e pode violar os controles de acesso baseados em funções. O endpoint da API em questão é usado para listar Propriedades Predefinidas.

Recomendações Versões anteriores a 2.2.3 devem ser atualizadas para a versão 2.2.3 ou posterior. Versões anteriores a 1.7.16 devem ser atualizadas para a versão 1.7.16 ou posterior.