VYPR
Get started
← All advisories
Unrated severityNVD Advisory· Published Jan 29, 2014· Updated Apr 29, 2026

CVE-2013-4661

CVE-2013-4661

Description

CiviCRM 2.0.0 through 4.2.9 and 4.3.0 through 4.3.3 does not properly enforce role-based access control (RBAC) restrictions for default custom searches, which allows remote authenticated users with the "access CiviCRM" permission to bypass intended access restrictions, as demonstrated by accessing custom contribution data without having the "access CiviContribute" permission.

Affected products

67
  • Civicrm/Civicrm67 versions
    cpe:2.3:a:civicrm:civicrm:2.0.0:*:*:*:*:*:*:*+ 66 more
    • cpe:2.3:a:civicrm:civicrm:2.0.0:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.0.1:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.0.2:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.0.3:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.0.4:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.0.5:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.0.6:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.0.7:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.1.0:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.1.1:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.1.2:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.1.4:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.1.6:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.2.0:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.2.1:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.2.2:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.2.3:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.2.5:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.2.6:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.2.7:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.2.8:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.2.2:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.2.3:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.2.4:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.2.5:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.3.0:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.3.1:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.3.2:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:2.2.9:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.0.0:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.0.1:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.0.2:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.0.3:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.0.4:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.1.1:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.1.2:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.1.3:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.1.4:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.1.5:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.1.6:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.2.0:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.2.1:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.3.3:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.3.5:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.3.6:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:3.4.0:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.0.5:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.1.0:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.1.1:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.1.2:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.1.3:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.1.4:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.1.5:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.1.6:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.2.0:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.2.1:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.2.2:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.2.4:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.2.5:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.2.6:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.2.7:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.2.8:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.2.9:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.3.0:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.3.1:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.3.2:*:*:*:*:*:*:*
    • cpe:2.3:a:civicrm:civicrm:4.3.3:*:*:*:*:*:*:*

Patches

0

No patches discovered yet.

Vulnerability mechanics

AI mechanics synthesis has not run for this CVE yet.

References

3

News mentions

0

No linked articles in our index yet.