这不是一个安全漏洞。这是一种防止错误配置的缓解措施。
CiviCRM包含大量可配置的权限。管理员可以将这些权限分配给各种用户和角色。这是一个强大的功能,可以满足不同的需求,但它提供了错误配置的机会。
错误配置可能是由以下几个原因引起的,例如:
-
误解-名为“
访问CivilContribute
“不明确。可以解释为”访问CiviContribute“像个职员“或”访问CiviContribute像公众一样“或”访问CivicContribute像管理员一样“。人们必须越过这个技术名称来寻找含义。
-
主观性-“适当”和“不适当”权限取决于组织、人员、目标等。
当前的更新包括一个额外的护栏,以防止错误配置。例如,“访问CiviContribute”是为管理捐款的后端(员工/志愿者/募捐)用户设计的。很难想象会授予匿名用户“访问CiviContribute”的权限(除非名称不明确). 此错误配置现在将产生警告。
此更新并不详尽,未来的每月迭代可能会改进异常配置的建议和检测。
受影响的版本
小于或等于5.47.1、5.46.2、5.45.3的所有版本
固定版本
CiviCRM版本5.47.2、5.46.3和5.45.4 ESR
信用
圣地亚哥的鲍勃·西尔文350
艺术机器人的理查德·洛特
JMA咨询和CiviCRM的Seamus Lee
CiviCRM的Tim Otten