CiviCRM 权限许可和访问控制漏洞

漏洞信息详情

CiviCRM 权限许可和访问控制漏洞

• CNNVD编号：CNNVD-201401-586
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-4661
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2014-01-29
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-02-07
  
• 厂        商：
  
  civicrm
• 漏洞来源：

CiviCRM是一套专用于非营利组织、非政府组织以及公益机构的客户关系管理系统。该系统可作为组织内部的业务管理，也可作为组织的联络、沟通以及追踪志愿者或支持者的关系和状态。

CiviCRM 2.0.0至4.2.9版本和4.3.0至4.3.3版本中存在权限许可和访问控制漏洞，该漏洞源于程序对默认的自定义搜索没有正确实施基于角色的访问控制(RBAC)限制操作。远程攻击者可利用该漏洞以‘access CiviCRM’权限绕过既定的访问限制。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://civicrm.org/advisory/civi-sa-2013-003-custom-search-permissions

来源: issues.civicrm.org

链接:http://issues.civicrm.org/jira/browse/CRM-12747

来源: civicrm.org

链接:http://civicrm.org/advisory/civi-sa-2013-003-custom-search-permissions

来源: civicrm.org

链接:http://civicrm.org/advisory/civi-sa-2013-003