一、 漏洞 CVE-2026-23494 基础信息

                                        # Pimcore 静态路由未授权访问漏洞

## 概述

Pimcore 在 12.3.1 和 11.5.14 之前版本中，API 端点未正确执行服务端授权检查，导致认证用户可越权读取或列出静态路由配置。

## 影响版本

- Pimcore < 12.3.1  
- Pimcore < 11.5.14

## 细节

- 静态路由为通过后台界面或 `var/config/staticroutes.php` 文件定义的自定义 URL 模式，包含正则表达式、控制器、变量、优先级等信息。  
- 静态路由由 PimcoreStaticRoutesBundle 自动注册并集成至 MVC 路由系统。  
- 受影响的 API 端点（如 `GET /api/static-routes`）未实施足够的服务端权限验证。  
- 经验证，无相应权限的已认证后台用户可调用该接口，获取敏感的静态路由配置数据。

## 影响

认证用户可越权访问静态路由的详细配置信息，可能导致敏感逻辑暴露、路径泄露或辅助进一步攻击。
                                        

二、漏洞 CVE-2026-23494 的公开POC

三、漏洞 CVE-2026-23494 的情报信息

• 标题： [Bug]: Fix Static Route permission by kingjia90 · Pull Request #18893 · pimcore/pimcore · GitHub -- 🔗来源链接

  标签：x_refsource_MISC

  神龙速读：

                                          ### 关键信息总结
  
  - **漏洞标题**: Fix Static Route permission
  - **漏洞编号**: #18893
  - **相关标签**: Bug, Pimcore:Priority
  - **开发分支**: 11.5
  - **修复时间**: 2025年12月17日
  - **修复者**: kingjia90
  
  #### 代码更改信息
  
  - **文件路径**: pimcore/bundles/StaticRoutesBundle/public/js/startup.js
  - **具体更改**:
    - 移除了静态路由权限检查中的冗余权限检查
    - 确保未授权用户不能进行读取/列表和编辑操作
  
  #### 代码审查情况
  
  - 代码已合并到11.5分支。
  - 由kingjia90审查并合并。
  
  #### 目标里程碑
  
  - 此次修复已纳入11.5.14版本里程碑。
                                          

  

• 标题： Release 12.3.1 · pimcore/pimcore · GitHub -- 🔗来源链接

  标签：x_refsource_MISC

  神龙速读：

                                          ### 关键漏洞信息总结
  
  - **修复多项安全问题**
    - **PEES-883**: 修复了模糊图像修复仅限于向量类型的问题。
    - **Security**: 在过滤搜索过程中修复了密钥有效性检查。
    - **Security**: 移除并禁用HTTP错误日志中的敏感数据记录。
  - **关联的修复**
    - 关于模糊图像修复的错误信息，PEES-883已得到修正，该问题在之前的版本中被有限制地应用，仅针对向量类型图像。
    - 安全性相关的问题PEES-883和PEES-894，在此次更新中得到了关注和修复。
    
  ### 安全修复参考编号
  
  - [PEES-883](#18886)
  - [Security](#18913)
  - [Security](#18918)
  
  上述提到的安全性修复项，表明此版本重点加强了数据安全性和日志的安全处理，避免敏感信息的泄露。
                                          

  

• 标题： Release 11.5.14 · pimcore/pimcore · GitHub -- 🔗来源链接

  标签：x_refsource_MISC

  神龙速读：

                                          ## 关键安全漏洞信息
  
  ### 安全更新:
  - **Brick key validity check during filtered search**
    - Commit: #18913
    - Description: 强化了在过滤搜索过程中对砖块键的有效性检查。
  
  - **Remove and disable sensitive data log in http error log**
    - Commit: #18918
    - Description: 移除并禁用了HTTP错误日志中的敏感数据记录。
  
  这些安全更新表明Pimcore v11.5.14版本修复了潜在的数据暴露和安全验证问题，提升了系统的安全性。
                                          

  

• 标题： Broken Access Control: Missing Function Level Authorization on "Static Routes" Listing · Advisory · pimcore/pimcore · GitHub -- 🔗来源链接

  标签：x_refsource_CONFIRM

  神龙速读：

                                          ## 关键信息
  
  - **漏洞类型**
    - Broken Access Control: Missing Function Level Authorization
    - 缺少函数级授权的访问控制漏洞
  
  - **影响的版本**
    - <= 12.3
    - <= 11.5.13
  
  - **修复的版本**
    - 12.3.1
    - 11.5.14
  
  - **CVE ID**
    - CVE-2026-23494
  
  - **威胁点**
    - CVSS v3 severity: Moderate
    - 通过网络攻击向量
    - 无需用户交互即可被利用
    - 需要低权限后台用户
    - 低复杂度的攻击
  
  - **详细描述**
    - 漏洞在于应用程序未能对处理获取或列出静态路由的API端点执行适当的服务器端授权检查。
    - 已验证，无明确权限的后台用户未经授权即可访问内部路由元数据。
    - 风险包括对隐藏的管理路径的发现、特定于网站的路由暴露导致的数据未授权访问，以及可能的其他系统级提权。
  
  - **如何重现**
    - 通过登录无权限的后台用户，使用管理用户的Cookie与X-CSRF-Token执行获取静态路由的API调用，可以未授权地访问到路由配置。
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2026-23494

四、漏洞 CVE-2026-23494 的评论