Plataforma
php
Componente
churchcrm
Corregido en
6.5.4
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en ChurchCRM, un sistema de gestión eclesiástica de código abierto. Esta falla, presente en las versiones 6.5.0 hasta la 6.5.2, permite a usuarios con privilegios de creación de grupos inyectar código JavaScript malicioso. La ejecución de este código al ser visualizado por un administrador puede resultar en el robo de sus cookies de sesión, comprometiendo la cuenta administrativa. La vulnerabilidad ha sido corregida en la versión 6.5.3.
La vulnerabilidad XSS almacenada en ChurchCRM representa un riesgo significativo para la seguridad de las instituciones que utilizan este sistema. Un atacante puede aprovechar esta falla para inyectar código JavaScript malicioso en la interfaz de administración, específicamente durante el proceso de creación de grupos. Al ser visualizada por un administrador, esta página infectada ejecutará el código inyectado, permitiendo al atacante robar las cookies de sesión del administrador. Con las cookies de sesión comprometidas, el atacante puede suplantar la identidad del administrador y obtener acceso completo a la cuenta administrativa, pudiendo realizar modificaciones no autorizadas, acceder a información confidencial, o incluso comprometer la integridad del sistema. La gravedad de esta vulnerabilidad radica en la facilidad con la que un atacante puede explotarla y el impacto potencial en la seguridad de la organización.
La vulnerabilidad CVE-2026-35575 ha sido publicada el 2026-04-07. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la redacción. Aunque no se han publicado pruebas de concepto (PoC) públicas, la naturaleza de la vulnerabilidad XSS almacenada la hace relativamente fácil de explotar, lo que podría aumentar el riesgo de explotación en el futuro.
Churches and religious organizations using ChurchCRM versions 6.5.0 through 6.5.2 are at direct risk. Organizations with limited IT security resources or those relying on shared hosting environments are particularly vulnerable, as they may be slower to apply security updates. Administrators with group-creation privileges are the most immediate targets.
• php: Examine ChurchCRM logs for suspicious POST requests to the group creation endpoint containing JavaScript payloads. Use grep to search for patterns like <script> or alert() within these logs.
• generic web: Monitor access logs for requests to the group creation endpoint with unusual user agents or referrer headers.
• generic web: Use curl to test the group creation endpoint with a simple XSS payload and observe the response for signs of script execution (e.g., an alert box).
curl -X POST -d 'group_name=<script>alert("XSS")</script>' http://churchcrm/admin/group_create.phpdisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para la vulnerabilidad XSS en ChurchCRM es actualizar a la versión 6.5.3, que incluye la corrección de seguridad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Una posible solución temporal es restringir los privilegios de creación de grupos a un número limitado de usuarios de confianza. Además, se puede implementar una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de código JavaScript en la página de creación de grupos. Es crucial revisar y endurecer las políticas de contraseñas y habilitar la autenticación de dos factores para los usuarios con privilegios administrativos. Tras la actualización, confirme que la vulnerabilidad ha sido resuelta revisando el código fuente o realizando pruebas de penetración.
Actualice ChurchCRM a la versión 6.5.3 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al validar correctamente la entrada del nombre del grupo, evitando la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-35575 is a Stored Cross-Site Scripting (XSS) vulnerability in ChurchCRM versions 6.5.0 through 6.5.2, allowing attackers to inject malicious JavaScript.
You are affected if you are using ChurchCRM versions 6.5.0, 6.5.1, or 6.5.2. Upgrade to 6.5.3 or later to resolve the issue.
Upgrade ChurchCRM to version 6.5.3 or later. As a temporary workaround, implement a WAF rule to block suspicious JavaScript injection attempts.
There is currently no evidence of active exploitation, but the vulnerability's nature makes it a potential target.
Refer to the ChurchCRM security advisories page for the latest information: [https://www.churchcrm.org/security](https://www.churchcrm.org/security)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.