Plataforma
php
Componente
crm
Corregido en
6.5.4
Se ha descubierto una vulnerabilidad de inyección SQL en ChurchCRM, un sistema de gestión eclesiástica de código abierto. Esta falla, presente en versiones anteriores a la 6.5.3, permite a usuarios autenticados ejecutar comandos SQL arbitrarios, lo que podría resultar en una completa comprometer la base de datos. La vulnerabilidad pone en riesgo la confidencialidad de la información sensible almacenada en el sistema, incluyendo datos de miembros y credenciales de acceso. La versión 6.5.3 incluye una corrección para esta vulnerabilidad.
La inyección SQL en ChurchCRM permite a un atacante con acceso autenticado manipular consultas SQL, extrayendo datos confidenciales directamente de la base de datos. Esto incluye nombres, direcciones, información de contacto, datos financieros y, lo más crítico, las credenciales de administración del sistema. Un atacante podría utilizar esta información para robar identidades, realizar fraudes financieros o tomar el control total del sistema ChurchCRM, comprometiendo la integridad y disponibilidad de los datos de la iglesia. La capacidad de ejecutar comandos arbitrarios SQL también abre la puerta a la modificación o eliminación de datos, así como a la instalación de puertas traseras para acceso futuro. Este tipo de vulnerabilidad, si se explota con éxito, puede tener un impacto devastador en la reputación y las operaciones de la iglesia.
La vulnerabilidad CVE-2025-68112 ha sido publicada públicamente el 17 de diciembre de 2025. La severidad de la vulnerabilidad es CRÍTICA (CVSS 9.6), lo que indica una alta probabilidad de explotación. No se ha confirmado la explotación activa de esta vulnerabilidad en entornos reales, pero la disponibilidad de la vulnerabilidad y su alta severidad la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas ChurchCRM para detectar cualquier actividad sospechosa.
Churches and religious organizations that utilize ChurchCRM for managing member data, events, and finances are at significant risk. Organizations with legacy ChurchCRM installations or those that have not implemented robust access controls are particularly vulnerable. Shared hosting environments where multiple ChurchCRM instances reside on the same server could also be affected, potentially impacting multiple organizations simultaneously.
• php: Examine ChurchCRM application logs for suspicious SQL queries or error messages related to database interactions.
grep -i 'error: syntax' /var/log/apache2/error.log• generic web: Monitor access logs for unusual requests targeting the Event Attendee Editor endpoint.
curl -I http://your-churchcrm-instance/event_attendee_editor.php?id=1' UNION SELECT 1,2,3 -- -• database (mysql): Check the MySQL audit logs for unauthorized SQL queries or modifications to the database schema.
SELECT * FROM mysql.general_log WHERE command_type = 'Query' AND user = 'your_database_user';disclosure
Estado del Exploit
EPSS
0.07% (22% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar ChurchCRM a la versión 6.5.3 o superior, que incluye la corrección para la inyección SQL. Si la actualización inmediata no es posible debido a problemas de compatibilidad o tiempo de inactividad, se recomienda implementar medidas de seguridad adicionales. Estas medidas pueden incluir la restricción del acceso a la base de datos, la validación estricta de todas las entradas del usuario y la implementación de un firewall de aplicaciones web (WAF) para filtrar tráfico malicioso. Además, se recomienda revisar y auditar regularmente los registros del sistema en busca de actividades sospechosas. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las consultas SQL se ejecutan de forma segura y que los datos sensibles están protegidos.
Actualice ChurchCRM a la versión 6.5.3 o superior. Esta versión contiene una corrección para la vulnerabilidad de inyección SQL. Se recomienda realizar una copia de seguridad de la base de datos antes de la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68112 is a critical SQL injection vulnerability in ChurchCRM versions prior to 6.5.3, allowing attackers to execute arbitrary SQL commands and potentially compromise the entire database.
You are affected if you are running ChurchCRM version 6.5.3 or earlier. Immediately check your version and upgrade if necessary.
Upgrade ChurchCRM to version 6.5.3 or later. If immediate upgrade is not possible, restrict access to the Event Attendee Editor and consider using a WAF.
While there is no confirmed active exploitation at this time, the ease of exploitation suggests it is likely to be targeted. Proactive patching is crucial.
Refer to the official ChurchCRM security advisory on their website or GitHub repository for the latest information and patch details.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.