Vulnerabilidad en pimcore (CVE-2026-23495)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
15/01/2026
Última modificación:
30/01/2026
Descripción
El Admin Classic Bundle de Pimcore proporciona una interfaz de usuario de backend para Pimcore. Antes de las versiones 2.2.3 y 1.7.16, el endpoint de la API para listar Propiedades Predefinidas en la plataforma Pimcore carece de comprobaciones de autorización adecuadas del lado del servidor. Las Propiedades Predefinidas son definiciones de metadatos configurables (por ejemplo, nombre, clave, tipo, valor predeterminado) utilizadas en documentos, activos y objetos para estandarizar atributos personalizados y mejorar los flujos de trabajo editoriales, como se documenta en la guía oficial de propiedades de Pimcore. Las pruebas confirmaron que un usuario de backend autenticado sin permisos explícitos para la gestión de propiedades podría llamar con éxito al endpoint y recuperar la lista completa de estas configuraciones. La vulnerabilidad está corregida en las versiones 2.2.3 y 1.7.16.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pimcore:admin_classic_bundle:*:*:*:*:*:pimcore:*:* | 1.7.16 (excluyendo) | |
| cpe:2.3:a:pimcore:admin_classic_bundle:*:*:*:*:*:pimcore:*:* | 2.0.0 (incluyendo) | 2.2.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/pimcore/admin-ui-classic-bundle/commit/98095949fbeaf11cdf4cadb2989d7454e1b88909
- https://github.com/pimcore/admin-ui-classic-bundle/releases/tag/v1.7.16
- https://github.com/pimcore/admin-ui-classic-bundle/releases/tag/v2.2.3
- https://github.com/pimcore/pimcore/security/advisories/GHSA-hqrp-m84v-2m2f