CIVI-SA-2014-006 - Contournement d'accès affectant CiviCase

La composante de gestion de dossiers CiviCase de CiviCRM offre plusieurs outils à l'utilisateur pour voir et mettre à jour des sections d'un dossier. Certaines de ces requêtes ne validaient pas suffisamment les permissions et pourraient être utilisées par n'importe quel utilisateur avec les permissions "Accéder à CiviCRM". Ce problème affecte uniquement les sites utilisant la composante CiviCase. De plus, un utilisateur doit avoir un compte utilisateur ayant accès à CiviCRM, une permission généralement attribuée uniquement aux utilisateurs de confiance.

Pour résoudre le problème, vous pouvez soit:

Pour tous les détails, voir l'annonce officielle sur civicrm.org: CIVI-SA-2014-006 - Access bypass in CiviCase.