Pimcore Open Source v12.3.10: Sicherheitsverbesserungen und Stabilitätskorrekturen im Überblick

Die am 25. Juni 2026 veröffentlichte Pimcore-Version v12.3.10 enthält mehrere sicherheitsbezogene Änderungen. Dazu zählen Anpassungen beim Umgang mit serialisierten Daten, unter anderem bei Hotspot Images und beim Admin-Session-Token. Zudem wurde die Prüfung von Feldnamen verschärft. Auch die Verarbeitung von SQL-Zusammensetzungen in Custom Reports wurde angepasst. Ergänzt wird dies durch eine Änderung an der Twig SecurityPolicy, bei der nun Methoden und Eigenschaften geprüft werden.

Im Bereich der Assets behebt die Version ein Problem, das bei langen Prozessen mit Asset-Operationen zur Fehlermeldung „Failed to open stream: Too many open files“ führen konnte. Außerdem wurde ein Fehler bei der Erkennung von MimeTypes korrigiert. Für SVG-Dateien wurden zwei Punkte angepasst: Es gibt nun einen Fallback für SVGs, die nicht umgewandelt werden können, und transparente Hintergründe von SVG- oder Vektordateien werden nicht mehr schwarz dargestellt. Bei PDF-Dateien wird eine bereits geprüfte und als sicher markierte Datei nicht erneut geprüft.

Auch bei Dokumenten und Editoren wurden mehrere Fehler behoben. Snippets konnten in der Vorschau mit falschen Links zwischengespeichert werden; dieses Verhalten wurde korrigiert. Ein Problem mit pimcoreblock innerhalb von pimcoremanualblock bei neuer Syntax wurde ebenfalls behoben. In Studio wurde die Darstellung von Video-Editables angepasst. Darüber hinaus wurde die Übergabe von Konfigurationswerten an Renderlets vereinheitlicht. Veraltete Optionen zur Konfiguration von Breite und Höhe editierbarer Dialoge wurden als veraltet markiert.

Bei Datenobjekten und Listen enthält v12.3.10 Korrekturen für mehrere Sonderfälle. Zusammengesetzte Datentypen wie NumericRange, DateRange, Geopoint und Geobounds verlieren keine Werte mehr, wenn ein Teilwert leer ist. Listing::getTotalCount() berücksichtigt nun die verbundenen Parameter. Ein Leistungsproblem beim Kopieren eines Objekts in einen Ordner mit vielen untergeordneten Objekten wurde behoben. Zusätzlich wurde ein Fehler korrigiert, der bei leerer Link-Lokalisierung zu einem TypeError führen konnte.

Weitere Änderungen betreffen das Link-Bearbeitungsfenster, in dem Untertypen und Klassen eingeschränkt werden können. Ein Fehler beim Inhalt eines Dokuments mit zugewiesenem Content-Main-Dokument wurde behoben. In der NotificationService-Komponente wurde eine fehlerhafte und nicht benötigte Transaktionsbehandlung entfernt. Außerdem wurden ein nicht vorhandener Service-Eintrag entfernt, eine Null-Argument-Ausnahme im Baum behoben und mehrere Dokumentationspunkte korrigiert, darunter ein defekter Markdown-Link, eine Versionsangabe, ein Tippfehler sowie eine Ergänzung zum MimeType Event.