关键漏洞信息 漏洞编号: CIVI-SA-2013-003 漏洞名称: Custom Search Permissions 发布时间: 2013-06-05 发布人: totten 漏洞描述 CiviCRM v2+ 的 "Custom Search" 系统允许管理员注册定制搜索表单,并包含一些默认的自定义搜索(例如 "Find Contribution Amounts by Tag")。CiviCRM 还支持基于角色的访问控制,使用权限如 "access CiviContribute" 或 "access CiviEvent"。对于默认的自定义搜索,CiviCRM 不强制执行预期的基于角色的访问控制。 例如:如果安全策略授予用户权限以查看 CiviCRM 后端("access CiviCRM"),但拒绝查看捐款数据("access CiviContribute"),用户仍可能通过自定义搜索访问捐款数据。 安全风险 风险级别: 较低 漏洞类型 类型: 访问绕过 影响版本 受影响版本: CiviCRM v2.0.0 - v4.2.9, v4.3.0 - v4.3.3 修复版本 修复版本: CiviCRM v4.2.10 和 v4.3.4 解决方案 升级到 CiviCRM 4.2.10 或 v4.3.4+ 禁用任何不应该由后端/员工用户访问的自定义搜索 致谢 Sarah Gladstone (Pogstone Inc) Pratik Joshi (CiviCRM LLC) Donald Lobo (CiviCRM LLC) 参考链接 [http://issues.civicrm.org/jira/browse/CRM-12747] CVE编号 CVE-2013-4661