Plataforma
php
Componente
churchcrm
Corregido en
7.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en ChurchCRM, un sistema de gestión de iglesias de código abierto. Esta falla, presente en versiones desde 0.0.0 hasta la 7.0.0, permite a un usuario autenticado inyectar código JavaScript arbitrario. La vulnerabilidad persiste incluso en versiones parcheadas para CVE-2023-38766 y se corrige en la versión 7.0.0.
La vulnerabilidad XSS almacenada en ChurchCRM permite a un atacante inyectar código JavaScript malicioso en el sistema. Este código se ejecuta en el navegador de otros usuarios que visualizan el perfil de la persona afectada o acceden a la vista imprimible. El impacto potencial es significativo, incluyendo el robo de cookies de sesión, la redirección de usuarios a sitios maliciosos y, en última instancia, la completa toma de control de la cuenta del usuario afectado. La persistencia del payload en la base de datos significa que la vulnerabilidad puede afectar a múltiples usuarios a lo largo del tiempo, ampliando el radio de explosión. Un atacante podría, por ejemplo, robar credenciales de administradores para obtener acceso completo al sistema de gestión de la iglesia.
Esta vulnerabilidad ha sido publicada el 2026-04-07. No se ha reportado explotación activa a la fecha. La probabilidad de explotación se considera media, dado que es una vulnerabilidad XSS almacenada, que generalmente son más fáciles de explotar que las XSS reflejadas. No se ha añadido a KEV a la fecha. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Churches and organizations utilizing ChurchCRM, particularly those relying on the Person Property Management subsystem for storing and managing member information, are at risk. Shared hosting environments where multiple ChurchCRM instances reside on the same server could also be affected, as a successful exploit on one instance could potentially impact others.
• php: Examine ChurchCRM database for suspicious JavaScript code stored in person property fields. Use SELECT * FROM personproperties WHERE propertyvalue LIKE '%<script%'; to identify potential XSS payloads.
• generic web: Monitor access logs for requests containing unusual JavaScript code in URL parameters or POST data targeting the Person Property Management endpoints.
• generic web: Review ChurchCRM application logs for errors related to JavaScript execution or unexpected behavior in the Person Property Management subsystem.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar ChurchCRM a la versión 7.0.0 o superior, que incluye la corrección. Si la actualización inmediata no es posible, se recomienda restringir el acceso a la funcionalidad de gestión de propiedades de persona a usuarios de confianza. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los scripts XSS, aunque no es una solución completa. Monitorear los registros del servidor en busca de patrones sospechosos de inyección de código JavaScript también puede ayudar a detectar y responder a posibles ataques. Después de la actualización, confirme la corrección revisando los registros de auditoría y verificando que las propiedades de persona no permitan la inyección de scripts.
Actualice a la versión 7.0.0 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige la forma en que se manejan las propiedades de la persona, evitando la inyección de código JavaScript malicioso en las vistas de perfil y en la impresión.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-35576 is a stored cross-site scripting (XSS) vulnerability in ChurchCRM versions 0.0.0 through 6.99.9, allowing authenticated users to inject malicious JavaScript code.
You are affected if you are using ChurchCRM versions 0.0.0 through 6.99.9 and have not upgraded to version 7.0.0.
Upgrade ChurchCRM to version 7.0.0 or later. Implement input validation and output encoding as an interim measure.
While no public exploit is currently known, the vulnerability's ease of exploitation suggests a potential for active exploitation.
Refer to the ChurchCRM website and security advisories for the latest information and official guidance regarding CVE-2026-35576.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.