CIVI-SA-2023-14：联系图像CSRF

出版

2023-09-06 12:00

编写人

一些针对“联系人”档案图像的管理操作缺乏足够的验证，因此容易受到跨站点请求伪造（CSRF）的攻击。

安全风险

中度关键

脆弱性

跨站点请求伪造

受影响的版本

CiviCRM 5.64.3版及更早版本

固定版本

CiviCRM版本5.64.4、5.65.0和5.63.4（ESR）

出版日期

2023-09-06 - 12:00

解决

升级至CiviCRM的固定版本

信用

兰吉特·巴汉
CiviCRM的科尔曼·瓦茨。
JMA咨询公司/CiviCRM的Seamus Lee。

工具书类

安全/核心#126
huntr.dev:d0896494-0642-40d2-8d49-8cf6c7d6e5c0

我们正在翻译civicrm.org网站。翻译可能不是所有语言都可用。阅读更多并参与.

©2005-2023，CIVICRM LLC。保留所有权利。
CiviCRM和CiviCRM徽标是CiviCRM LLC的商标。除非另有说明，本网站上的内容是根据Creative Commons Attribution-Share Alike 3.0美国许可证授权的。

【D8】

CIVI-SA-2023-14：联系人图像CSRF