从这张网页截图中,可以获取到以下关于漏洞的关键信息: 关键信息概览 漏洞类型:Broken Access Control - 缺失的函数级授权。 受影响版本:<=2.2.2且<=1.7.15。 修复版本:2.2.3及1.7.16。 严重性:CVSS v3评估分数为4.3/10。 CVE ID:CVE-2026-23495,关联CWE-284。 发现人:由Ytlamal发现。 漏洞详细描述 概述 此API接口用于在Pimcore平台中列出预定义的属性配置,但缺少必要的服务器端授权检查。预定义属性是文档、资产和对象中使用的可配置元数据定义(如:名称、键、类型、默认值),用于标准化自定义属性和改进编辑工作流,如Pimcore官方属性指南中所文档化。测试确认,具有后台权限但未经授权于属性管理的用户,仍然可以成功调用此API并获取完整的预定义属性配置列表。 复现步骤 1. 以管理员身份登录并点击“预定义属性”项,捕获并保存请求。请求为POST /admin/settings/properties?xaction=read&_dc=1765377154407。 2. 以无任何权限的后台用户身份登录,捕获并保存请求。对于列表API,该请求为GET /admin/user/get-current-user?_dc=... 3. 复制作步骤1中捕获请求中的Cookie和X-Pimcore-Csrf-Token,复制到步骤2中捕获的请求中。可以看到,低权限用户此刻添补上X-Pimcore-Csrf-Token即可获取“Predefined Properties”列表。 影响 利用此漏洞,低特权用户可以枚举所有预定义属性以暴露内部元数据模式、默认值和配置细节,这些可能揭示业务逻辑、数据分类策略或敏感的默认值(如专有密钥或选择选项)。在像Pimcore这样的PIM系统中,这可能促进对进一步攻击的侦察,如数据操纵或特权升级,导致资产/对象属性的未经授权的更改。对于处理受监管内容(例如,GDPR或PCI DSS下的电子商务目录)的组织而言,这种暴露泄露合规性漏洞、知识产权泄露和由意外属性覆盖引起的运营不一致。