Liebe Community,
gestern Abend wurde ein Sicherheitsupdate für CiviCRM veröffentlicht. Wie immer gilt natürlich, dass Ihr dieses möglichst zeitnah auf Euren Umgebungen einspielen solltet. Je nach Setup kann so ein Prozess (Backup, Update auf der Testumgebung, Testen, Update der Produktivumgebung…) ja aber auch etwas dauern.
Diesmal wurde eine sehr kritische Sicherheitslücke behoben, die in CiviCRM glücklicherweise nur mit Admin-Berechtigung ausgenutzt werden kann. Allerdings kann sie u.U. auch ausgenutzt werden wenn Euer CMS (Drupal oder Wordpress) ein Formular hat mit dem Dateien hochgeladen werden können.
Daher empfehlen wir dringend, ggf. vorhandene Formulare die einen Dateiupload ermöglichen bis nach dem Sicherheitsupdate zu deaktivieren o.ä.
Herzliche Grüße
Fabian
Hier noch der komplette Text der Ankündigung:
There has been a security release for CiviCRM. Upgrades are available for:
- CiviCRM v5.57.0 (download, release notes)
- CiviCRM v5.56.2 (download, release notes)
- CiviCRM v5.51.4 ESR (info, download, release notes)
These upgrades address the following security issue: