CiviCRM安全咨询 https://civicrm.org/it CIVI-SA-2024-03:智能安全政策 https://civicrm.org/advisory/civi-sa-2024-03-smarty-security-policy CiviCRM将Smarty模板系统用于高信任内容(内置模板文件,由开发人员编写)和低信任内容(用户提供的模板,由后台用户编写)。低信任内容会受到沙箱处理的影响,但如何应用存在问题。 Mer,19 Giu 2024 12:00:03-0700 新鲜的 835ea9a3-a23e-4788-8b45-75cd35786dd2 CIVI-SA-2024-02:JSON设置XSS https://civicrm.org/advisory/civi-sa-2024-02-json-settings-xss 使用“资源”API注入JSON数据(“设置”)的网页可能会为XSS攻击创建向量。 Mer,19 Giu 2024 12:00:02-0700 新鲜的 9bd33af3-2ee2-400a-b042-b98a4e295160 CIVI-SA-2024-01:查看联系人XSS https://civicrm.org/advisory/civi-sa-2024-01-view-contact-xss 在“查看联系人”屏幕及其子页面中,存在多个跨站点脚本漏洞。 Mer,19 Giu 2024 12:00:01-0700 新鲜的 99e84089-c0de-479a-b86d-ab6dbdd9cd3a CIVI-PSA-2023-01:Smarty v2审计 https://civicrm.org/advisory/civi-psa-2023-01-smarty-v2-audit CivicCRM包括Smarty v2模板引擎。模板由核心代码、第三方扩展和可配置内容定义。上游的smarty.net项目已经停止发布smarty v2的安全回传,因此civicrm.org将这样做(直到迁移到新的smarty完成)。作为这项工作的一部分,CiviCRM安全团队进行了详细审计,以比较v2/v3/v4的最新问题。 Mer,06设置2023 23:59:01-0700 新鲜的 591c53e9-9ea3-4635-a5bd-3ae9445c131f CIVI-SA-2023-15:公民活动XSS https://civicrm.org/advisory/civi-sa-2023-15-civievent-xss CiviEvent包含多个屏幕,存在跨站点脚本(XSS)漏洞。 Mer,06设置为2023 12:00:15-0700 新鲜的 75e5d47b-201b-4288-bedd-5b8d7a936162 CIVI-SA-2023-14:联系人图像CSRF https://civicrm.org/advisory/civi-sa-2023-14-contact-image-csrf 一些针对“联系人”档案图像的管理操作缺乏足够的验证,因此容易受到跨站点请求伪造(CSRF)的攻击。 Mer,06设置2023 12:00:14-0700 新鲜的 2003年6月7日-73c9-403f-b009-7f77a3ad242a CIVI-SA-2023-13:调查XSS https://civicrm.org/advisory/civi-sa-2023-13-调查-xss 在CiviCampaign中,“Survey”功能包括一个可能易受跨站点脚本(XSS)攻击的字段。 Mer,06设置2023 12:00:13-0700 新鲜的 44165a2c-b485-471f-a0a9-a3560a24f660 CIVI-SA-2023-12:jQuery验证DoS https://civicrm.org/advisory/civi-sa-2023-12-jquery-validation-dos 包“jquery-validation”可能容易受到涉及正则表达式处理的拒绝服务(DoS)的攻击。我们尚未确定会影响CiviCRM的攻击场景,但此次更新似乎是一项安全合理的预防措施。 Mer,06设置2023 12:00:12-0700 新鲜的 dd3855f8-85d1-406e-9f16-ec33dae49488 CIVI-SA-2023-11:选择2 XSS https://civicrm.org/advisory/civi-sa-2023-11-select2-xss Select2是一个自动完成的小部件。在CiviCRM使用Select2的多个地方,它容易受到存储跨站点脚本(XSS)攻击。(我们认为,利用这一点需要攻击者和受害者都具有对同一CiviCRM部署的高级访问权限。) Mer,06设置为2023 12:00:11-0700 新鲜的 10a94d77-b7b2-4450-8a8f-6dc2c8833116 CIVI-SA-2023-10:多潜在SQLI https://civicrm.org/advisory/civi-sa-2023-10-multiple-potential-sqli 在~8处发现有问题的代码模式。这些地方都可能受到SQL注入(SQLI)攻击。然而,人们认为,大多数或全部都有防止漏洞利用的缓解因素。 Mer,06设置为2023 12:00:10-0700 新鲜的 9c223742-24cf-43e3-9bdc-2ff0c6995844