Vulnerabilidad en Pimcore (CVE-2023-49076)
Severidad:
MEDIA
Type:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
30/11/2023
Última modificación:
05/12/2023
Descripción
El framework de datos del cliente permite la gestión de los datos del cliente dentro de Pimcore. No hay tokens ni encabezados para evitar que se produzcan ataques CSRF, por lo que un atacante podría aprovechar esta vulnerabilidad para crear nuevos clientes. Este problema se solucionó en la versión 4.0.5.
Impacto
Puntuación base 3.x
6.50
Severidad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:pimcore:pimcore:*:*:*:*:*:*:*:* | 4.0.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página