本页列出了自2013年6月以来的所有安全建议。对于较旧的安全提示请参阅此帖子。安全发布公告(从v4.2开始)也包括此处列出.
要接收未来的CiviCRM安全通知,订阅我们的通知。请在此查看我们的详细信息安全策略以及如何报告可疑的安全问题.
Smarty是一个模板库,负责在CiviCRM中编写网页输出。如果Smarty遇到内部处理错误(例如未知模板文件或未知模板函数),则会输出错误消息。在Smarty 2.6.26及更早版本中,错误消息没有正确转义,并且(与其他未识别的缺陷一起)可能为跨站点脚本攻击提供了一个向量。Smarty 2.6.27和CiviCRM 4.3.4解决了该问题。
CiviCRM v4.3中的“快速搜索”栏包含一个后端,用于处理分为两层的搜索请求。具有“访问CivicCRM”权限的后端用户可以远程访问这两个层。恶意用户可以绕过一个层(执行SQL验证/转义),直接调用第二层(从而绕过SQL验证/转义)。
注意:与典型的SQL注入相比,SQL注入的范围有限,因为CiviCRM的SQL API不接受包含多个语句的SQL查询。因此:
CiviCRM v2+包括一个“自定义搜索”系统,允许管理员注册自定义搜索表单,并包括一些默认的自定义搜索(例如“按标记查找贡献金额”)。CiviCRM还支持使用“访问CivilContribute“或”访问CiviEvent“。对于默认的自定义搜索,CiviCRM不会强制实施预期的基于角色的访问控制。
OpenFlashChart是一个库,用于呈现CiviCRM v3+中的仪表板和报告。该库包含一个为Adobe Flash编写的程序,该程序通过查询字符串接受数据。数据未正确消毒。如果攻击者向授权用户提供恶意构建的链接,则攻击者可以让用户执行任意JavaScript代码。
注:本文件于2013年6月发布,以符合我们的新披露格式。然而,该问题之前在civicrm.org博客帖子(2013年4月)和总结civicrm.org发布公告(2012年11月)。
