Emailer ist Sicherheitslücke



  • Hallo zusammen,
    ich fürchte, ich habe eine Sicherheitslücke bei Church-Tools gefunden (V3.40.1):
    Habe gerade für Freunde (die fast keine Rechte haben) ChurchDB sichtbar geschaltet. Da ist dann gleich der Emailer zu sehen. Das ist nicht schön, aber man könnte damit leben, denn die Freunde sehen erstmal nur sich selbst.
    Wenn man aber im Emailer einen Namensteil eingibt (oder nur einen Buchstaben), sieht man als Eingabevorschlag alle Namen, die dazu passen. So kann jemand ohne Rechte ganz leicht alle Namen von ChurchDB durchschauen.
    (Mailen kann er nicht an die Leute, also sie werden nicht zur Liste hinzugefügt, insofern ist es nicht ganz so dramatisch. Aber es sollte auch nicht gehen, dass auf diese Weise jemand alle Leute in der DB sehen kann).

    Und die Sichtbarkeit des Emailers über Rechte steuern zu können, fände ich schon sehr wichtig. Das bezieht sich auf dieses ältere Thema:
    Re: Emailer für Mitglieder abstellen?


  • admin

    @JoKo Joa ... das stimmt wohl. Mailen geht nicht, Namen inkl. Profilbild sind aber sichtbar. Sollte sicher nicht so sein!



  • @Andy sagte in Emailer ist Sicherheitslücke:

    Sollte sicher nicht so sein!

    Das DARF nicht sein! ;-)



  • @JoKo dann am besten gleich an den Support schicken, damit es schnell an der richtigen Stelle in der Entwicklung landet.



  • @daniel_ Hatte ich gleich gemacht und auch schnell die Bestätigung bekommen, dass das wirklich ein Bug ist und an die Entwicklung weitergegeben wurde.
    Ich hoffe, das wird mit hoher Priorität behandelt. Habe ein wenig den Eindruck, dass bei der Entwicklung mehr Wert auf neue Features gelegt wird als auf Sicherheit. Dabei gibt es da schon ernstzunehmende Lücken:

    • Dass alle Leute, die ChurchDB sehen, auch Zugriff auf den Emailer haben, ist ein echtes Problem. Das sollte wirklich so schnell wie möglich geändert werden.
    • Dann das Problem mit den Geburtstagen, deren Freischaltung dann auch noch andere Daten sichtbar macht. Wir haben daher die Geburtstage z.Zt. komplett weggeschaltet. Ist aber ein Rückschritt gegenüber der alten Gemeindeliste mit Excel
    • Und dass es nicht geht, Geburtstage ohne das Jahr sichtbar zu machen (außer in der Gemeindeliste, aber die kann man nicht sortieren)

Log in to reply