一、 漏洞 CVE-2024-21667 基础信息
漏洞标题
Pimcore客户数据框架错误的访问控制允许非特权用户访问GDPR提取
来源:AIGC 神龙大模型
漏洞描述信息
pimcore/customer-data-framework 是 Pimcore 中管理客户数据的 Customer 管理框架。经过身份验证和未授权的用户可以访问 GDPR 数据提取功能并查询返回的信息,导致客户数据泄露。在到达 `/admin/customermanagementframework/gdpr-data/search-data-objects` 端点时,不会执行权限检查,因此没有权限的用户可以访问端点和查询在那里可用的数据。未授权的用户可以从客户访问 PII 数据。此漏洞已在版本 4.0.6 中修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
缺省权限不正确
来源:AIGC 神龙大模型
漏洞标题
Pimcore Customer Data Framework Improper Access Control allows unprivileged user to access GDPR extracts
来源:美国国家漏洞数据库 NVD
漏洞描述信息
pimcore/customer-data-framework is the Customer Management Framework for management of customer data within Pimcore. An authenticated and unauthorized user can access the GDPR data extraction feature and query over the information returned, leading to customer data exposure. Permissions are not enforced when reaching the `/admin/customermanagementframework/gdpr-data/search-data-objects` endpoint allowing an authenticated user without the permissions to access the endpoint and query the data available there. An unauthorized user can access PII data from customers. This vulnerability has been patched in version 4.0.6.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
访问控制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Pimcore 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Pimcore是奥地利Pimcore公司的一套开源的用于创建和管理Web应用程序的Web内容管理平台。该平台集成了Web内容管理、电子商务框架和产品信息管理等应用。 Pimcore Customer Management Framework 4.0.5及之前版本存在访问控制错误漏洞,该漏洞源于未经授权的攻击者可以通过search data objects端点访问客户的PII数据。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-21667 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-21667 的情报信息