Sicherheitskorrekturen werden ausschließlich für die jeweils aktuelle Version
auf dem main-Branch bereitgestellt.
| Version | Unterstützt |
|---|---|
| 1.1.x | ✅ |
| < 1.1 | ❌ |
Sicherheitslücken bitte nicht über ein öffentliches Issue melden, um andere Betreiber nicht zu gefährden, solange noch keine Korrektur verfügbar ist.
Stattdessen vertraulich melden über cswebations.de.
Hilfreich für die Bearbeitung sind:
- eine Beschreibung der Schwachstelle und ihrer möglichen Auswirkungen,
- Schritte zur Reproduktion (gern mit Beispielanfrage oder Proof of Concept),
- die betroffene Version sowie die PHP- und Datenbankversion.
Eingehende Meldungen werden nach bestem Bemühen geprüft und beantwortet. Bei bestätigten Schwachstellen wird eine Korrektur erarbeitet und anschließend im Rahmen einer abgestimmten Veröffentlichung (Coordinated Disclosure) bereitgestellt. Bitte gewähre vor einer öffentlichen Bekanntmachung eine angemessene Frist zur Behebung.
Diese Richtlinie bezieht sich auf den Quellcode dieses Repositories. Nicht
in den Geltungsbereich fallen Schwachstellen, die durch eine fehlerhafte
Server- oder Betriebskonfiguration der jeweiligen Installation entstehen
(z. B. fehlendes HTTPS, ein nicht auf public/ gesetzter DocumentRoot oder ein
nicht entfernter Installer).
Da es sich um eine selbst gehostete Anwendung handelt, liegt die Absicherung der Installation beim jeweiligen Betreiber. Empfohlen wird insbesondere:
- den DocumentRoot der Domain auf das Verzeichnis
public/setzen, sodasssrc/undconfig.phpaußerhalb des öffentlich erreichbaren Bereichs liegen, - die Anwendung ausschließlich über HTTPS betreiben,
- eine feste Basis-URL konfigurieren (geschieht bei der Installation automatisch); sie schützt Passwort-Reset-Links vor Manipulation über den Host-Header,
- den Installer (
public/install.php) nach der Einrichtung entfernen (geschieht standardmäßig automatisch), - eine unterstützte, aktuelle PHP-Version einsetzen,
- regelmäßige Datensicherungen vornehmen (Verwaltung → Backup),
- hinter einem Reverse-Proxy/CDN dafür sorgen, dass PHP die echte Client-IP
erhält (z. B.
mod_remoteip) – die Login-Drosselung arbeitet u. a. pro IP.