出版 2022-06-01 12:00 编写人 新鲜的 处理APIv3 AJAX请求时存在漏洞,允许恶意请求绕过权限检查。 安全风险 高度关键 脆弱性 通道旁路 受影响的版本 5.50.beta1、5.49.3和5.45.5(及更早版本) 固定版本 5.50.0、5.49.4和5.45.6 ESR(及更高版本) 出版日期 2022-06-01 - 12:00 解决 以下任意一项: (推荐)升级至CiviCRM v5.50.0、v5.49.4或5.45.6 ESR (替代缓解措施)确保权限访问AJAX API和访问CivicCRM仅对受信任的管理用户可用。(注意:此缓解措施仅适用于小型、简单的站点。如果站点有半信任的后端用户,或者如果站点有任何使用APIv3 AJAX的扩展,则可能不切实际。) 信用 精巧的机器人——富豪;JMA咨询公司-Seamus Lee;维基媒体基金会-艾琳·麦克诺顿;CiviCRM-科尔曼·瓦茨(Coleman Watts)、蒂姆·奥滕(Tim Otten) 工具书类 安全/核心#116