Plataforma
php
Componente
churchcrm
Corregido en
6.5.4
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en ChurchCRM, un sistema de gestión eclesiástica de código abierto. Esta falla, presente en las versiones 6.5.0 hasta la 6.5.2 (excluyendo la 6.5.3), permite a usuarios autenticados con permisos para agregar notas ejecutar código JavaScript arbitrario en el navegador de otros usuarios, incluyendo administradores. La vulnerabilidad fue publicada el 7 de abril de 2026 y se ha solucionado en la versión 6.5.3.
La explotación exitosa de esta vulnerabilidad XSS en ChurchCRM puede tener consecuencias graves. Un atacante podría inyectar código malicioso a través del editor de notas, que se ejecutaría en el navegador de otros usuarios al visualizar la nota. Esto podría permitir el robo de cookies de sesión, lo que llevaría al secuestro de la sesión y a la escalada de privilegios, permitiendo al atacante acceder a información sensible de los miembros de la iglesia, como datos personales, información financiera y registros de asistencia. La vulnerabilidad es particularmente preocupante dado que los sistemas de gestión eclesiástica a menudo contienen información confidencial y son utilizados por personal con acceso privilegiado.
Actualmente no se dispone de información pública sobre campañas de explotación activa de esta vulnerabilidad. La vulnerabilidad fue publicada el 7 de abril de 2026. Se recomienda monitorear fuentes de inteligencia de amenazas y foros de seguridad para detectar posibles desarrollos. La severidad de la vulnerabilidad se clasifica como ALTA (CVSS 7.3), lo que indica una probabilidad significativa de explotación si no se toman medidas correctivas.
Churches and religious organizations utilizing ChurchCRM versions 6.5.0 through 6.5.2 are at direct risk. Organizations with shared hosting environments or those that have granted broad note-adding permissions to multiple users are particularly vulnerable, as the attack surface is increased.
• php: Examine ChurchCRM logs for suspicious JavaScript code being injected into notes. Search for unusual characters or patterns commonly associated with XSS payloads.
grep -i 'alert\(' /var/log/churchcrm/error.log• generic web: Monitor access logs for requests containing suspicious URL parameters or POST data that could be indicative of XSS attempts.
grep -i '<script' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad XSS en ChurchCRM es actualizar a la versión 6.5.3 o superior, que incluye la corrección. Si la actualización a la versión más reciente no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la restricción de los permisos de edición de notas a un grupo limitado de usuarios de confianza, la implementación de una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de código JavaScript, y la revisión exhaustiva de todas las entradas de usuario para detectar posibles patrones maliciosos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando el código fuente o realizando pruebas de penetración.
Actualice ChurchCRM a la versión 6.5.3 o posterior para mitigar la vulnerabilidad de XSS. Asegúrese de realizar una copia de seguridad de su base de datos antes de actualizar. Revise los registros de auditoría para detectar cualquier actividad sospechosa después de la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-35574 is a stored Cross-Site Scripting (XSS) vulnerability in ChurchCRM versions 6.5.0 through 6.5.2, allowing attackers to execute JavaScript code.
You are affected if you are running ChurchCRM versions 6.5.0, 6.5.1, or 6.5.2. Upgrade to 6.5.3 to mitigate the risk.
Upgrade ChurchCRM to version 6.5.3 or later. Implement input validation and output encoding as an interim measure.
While no active exploitation has been confirmed, the XSS nature of the vulnerability suggests a high likelihood of exploitation if left unpatched.
Refer to the ChurchCRM security advisories on their official website or GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.