Vulnerabilidad en Pimcore (CVE-2024-21667)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
11/01/2024
Última modificación:
18/01/2024
Descripción
pimcore/customer-data-framework es el Customer Management Framework para la gestión de datos de clientes dentro de Pimcore. Un usuario autenticado y no autorizado puede acceder a la función de extracción de datos del RGPD y consultar la información devuelta, lo que lleva a la exposición de los datos del cliente. Los permisos no se aplican al llegar al endpoint `/admin/customermanagementframework/gdpr-data/search-data-objects`, lo que permite a un usuario autenticado sin permisos acceder al endpoint y consultar los datos disponibles allí. Un usuario no autorizado puede acceder a los datos PII de los clientes. Esta vulnerabilidad ha sido parcheada en la versión 4.0.6.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pimcore:customer_management_framework:*:*:*:*:*:pimcore:*:* | 4.0.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/pimcore/customer-data-framework/blob/b4af625ef327c58d05ef7cdf145fa749d2d4195e/src/Controller/Admin/GDPRDataController.php#L38
- https://github.com/pimcore/customer-data-framework/commit/6c34515be2ba39dceee7da07a1abf246309ccd77
- https://github.com/pimcore/customer-data-framework/security/advisories/GHSA-g273-wppx-82w4