Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Pimcore Admin Classic (CVE-2023-49075)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
28/11/2023
Última modificación:
04/12/2023

Descripción

El paquete Admin Classic proporciona una interfaz de usuario backend para Pimcore. `AdminBundle\Security\PimcoreUserTwoFactorCondition` introducido en v11 deshabilita la autenticación de dos factores para todos los firewalls de seguridad que no sean de administrador. Un usuario autenticado puede acceder al sistema sin tener que proporcionar credenciales de dos factores. Este problema se solucionó en la versión 1.2.2.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:pimcore:admin_classic_bundle:*:*:*:*:*:pimcore:*:* 1.2.2 (excluyendo)