CVE-2026-23494

Nome do Software Vulnerável e Versões Afetadas Versões do Pimcore anteriores a 12.3.1 Versões do Pimcore anteriores a 11.5.14

Descrição A aplicação não aplica corretamente verificações de autorização no lado do servidor no endpoint da API responsável por ler ou listar rotas estáticas. Rotas estáticas são padrões de URL personalizados definidos através da interface do backend ou no arquivo var/config/staticroutes.php, incluindo detalhes como padrões baseados em regex, controladores, variáveis e prioridades. Um usuário autenticado do backend que não possui permissões explícitas pode invocar o endpoint da API (por exemplo, GET /api/static-routes) e obter configurações de rota sensíveis. Isso viola os princípios de controle de acesso, permitindo acesso não autorizado a metadados de roteamento internos. A exploração permite que usuários com privilégios baixos enumerem rotas estáticas, potencialmente revelando a arquitetura da aplicação, endpoints ou lógica personalizada.

Recomendações Versões anteriores a 12.3.1 devem ser atualizadas para a versão 12.3.1 ou posterior. Versões anteriores a 11.5.14 devem ser atualizadas para a versão 11.5.14 ou posterior.