docs/RELEASE_NOTES_NEXT/Administration/stripe_settings_permission.adoc

   1 Credit Processor Stripe Settings Permissions
   2 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
   3 Unprivileged users can retrieve organizational unit setting values for
   4 setting types lacking a "view" permission.  When the feature adding
   5 Stripe credit card processing was added, the upgrade script neglected
   6 to add the VIEW_CREDIT_CARD_PROCESSING permission to the
   7 organizational unit setting type.  This means that anyone can retrieve
   8 and view the settings for Stripe credit card processing.
   9
  10 Any system that upgraded from Evergreen version 2.5 to 2.6 is
  11 affected.  If you use Stripe for credit card processing, it is
  12 strongly recommended that you apply this upgrade.  Even if you do not
  13 use Stripe, applying this upgrade is still recommended.  If you did
  14 not upgrade from version 2.5 to 2.6 of Evergreen, but started with a
  15 later version, applying this upgrade is harmless.