“dompdf”库存在允许远程代码执行的漏洞。它可能被一些后端用户利用。
受影响的版本
CiviCRM 5.58.0版(及更早版本)、5.57.3版(及更低版本)
固定版本
CiviCRM版本5.58.1、5.57.4(ESR)
解决
升级至CiviCRM的固定版本
或者,如果您无法升级CiviCRM,您可以手动升级dompdf(在Drupal 8/9上)。在您的网站上,下载安全版本:
作曲家需要“dompdf/dompdf:~2.0.3”
注意:这对于短期覆盖很有用。在未来,当你有机会更新CivicCRM时,你需要编辑作曲家.json
并删除此覆盖。