Pimcore Admin Classic Bundle allows user enumeration

描述

pimcore/admin-ui-classic-bundle provides a Backend UI for Pimcore. In affected versions an error message discloses existing accounts and leads to user enumeration on the target via "Forgot password" function. No generic error message has been implemented. This issue has been addressed in version 1.7.4 and all users are advised to upgrade. There are no known workarounds for this vulnerability.

基本信息

类型
reviewed
严重度
medium
GitHub 上的公告
打开公告 ↗
仓库公告
打开仓库公告 ↗
源代码
浏览源码 ↗
公开(公告)
2025-02-07 20:27:43 UTC
更新时间
2025-02-11 17:22:15 UTC
GitHub 审核
2025-02-07 20:27:43 UTC
NVD 公开
2025-02-07

EPSS Score

Score Percentile
0.01% 0.79%

CVSS Scores

Base score Version Severity Vector
6.9 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 点击展开
攻击向量 (AV:N)
经互联网或企业可路由网段即可远程触达,攻击者不必出现在设备旁。
攻击复杂度 (AC:L)
步骤短、路径清晰,复现成本低。
攻击要求 (AT:N)
除网络可达外,不必额外凑齐罕见基础设施或数据形态。
权限要求 (PR:N)
匿名或普通会话即可起步,不必事先提权。
用户交互 (UI:N)
无需受害者点击、放行宏或安装软件,攻击链可自动走完。
受影响系统的机密性影响 (VC:L)
可能出现字段级或样本级泄露,但难以演成“整库拖走”。
受影响系统的完整性影响 (VI:N)
对记录真伪与业务规则几乎不构成威胁。
受影响系统的可用性影响 (VA:N)
不至于出现业务意义上的长时间停摆或灾难性性能崩塌。
后续系统的机密性影响 (SC:N)
经脆弱点波及下游后,几乎读不走有价值的机密数据。
后续系统的完整性影响 (SI:N)
下游记录与业务规则几乎不被撼动。
后续系统的可用性影响 (SA:N)
下游不至于被拖到长时间瘫痪。

Identifiers

CWEs

CWE id Name
CWE-204 Observable Response Discrepancy

Credits

  • Ayman-Rayan (reporter)

Affected packages (1)

Vulnerable version ranges and first patched releases as published by GitHub.

Ecosystem Package Vulnerable range First patched Vulnerable functions
composer pimcore/admin-ui-classic-bundle < 1.7.4 1.7.4

References

cvelogic Threat Intelligence