Vulnerabilidad en Pimcore (CVE-2024-41109)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
30/07/2024
Última modificación:
04/11/2025
Descripción
El paquete Admin Classic de Pimcore proporciona una interfaz de usuario backend para Pimcore. Navegar a `/admin/index/statistics` con un usuario de Pimcore conectado expone información sobre la instalación de Pimcore, la versión de PHP, la versión de MYSQL, los paquetes instalados y todas las tablas de la base de datos y su recuento de filas en el sistema. Esta vulnerabilidad se solucionó en 1.5.2, 1.4.6 y 1.3.10.
Impacto
Puntuación base 3.x
6.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pimcore:admin_classic_bundle:*:*:*:*:*:pimcore:*:* | 1.3.10 (excluyendo) | |
| cpe:2.3:a:pimcore:admin_classic_bundle:*:*:*:*:*:pimcore:*:* | 1.4.0 (incluyendo) | 1.4.6 (excluyendo) |
| cpe:2.3:a:pimcore:admin_classic_bundle:*:*:*:*:*:pimcore:*:* | 1.5.0 (incluyendo) | 1.5.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/pimcore/admin-ui-classic-bundle/blob/1.x/src/Controller/Admin/IndexController.php#L125C24-L125C40
- https://github.com/pimcore/admin-ui-classic-bundle/commit/afa10bff2f8bfe9c8af7b6b75885bc403f6984f0
- https://github.com/pimcore/admin-ui-classic-bundle/releases/tag/v1.5.2
- https://github.com/pimcore/admin-ui-classic-bundle/security/advisories/GHSA-fx6j-9pp6-ph36
- https://github.com/pimcore/admin-ui-classic-bundle/blob/1.x/src/Controller/Admin/IndexController.php#L125C24-L125C40
- https://github.com/pimcore/admin-ui-classic-bundle/commit/afa10bff2f8bfe9c8af7b6b75885bc403f6984f0
- https://github.com/pimcore/admin-ui-classic-bundle/releases/tag/v1.5.2
- https://github.com/pimcore/admin-ui-classic-bundle/security/advisories/GHSA-fx6j-9pp6-ph36