Plataforma
php
Componente
churchcrm
Corregido en
7.1.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en ChurchCRM, un sistema de gestión de iglesias de código abierto. Esta falla permite a un usuario autenticado inyectar código JavaScript arbitrario en el navegador de otro usuario autenticado. La vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 7.0.9, y ha sido solucionada en la versión 7.1.0.
El impacto de esta vulnerabilidad es significativo, ya que un atacante puede explotarla para robar las cookies de sesión de otros usuarios autenticados, incluyendo cuentas de administradores. Al obtener control de las cookies de sesión, el atacante puede hacerse pasar por la víctima y acceder a la aplicación con sus privilegios. El ataque se ejecuta automáticamente al cargar la página maliciosa, sin necesidad de interacción del usuario, lo que facilita su ejecución. Esto podría resultar en la manipulación de datos sensibles, la alteración de la configuración del sistema y el acceso no autorizado a información confidencial de los miembros de la iglesia.
Esta vulnerabilidad ha sido publicada el 7 de abril de 2026. No se ha reportado explotación activa en entornos reales a la fecha. La naturaleza de XSS reflejado, combinada con la ejecución automática del payload, sugiere un riesgo moderado de explotación, especialmente si la aplicación se utiliza en entornos con baja conciencia de seguridad.
Churches and religious organizations using ChurchCRM versions 0.0.0 through 7.0.x are at significant risk. Organizations relying on ChurchCRM for sensitive data management, such as member information and financial records, are particularly vulnerable. Shared hosting environments where multiple ChurchCRM instances reside on the same server could also be affected, potentially impacting multiple organizations simultaneously.
• php: Examine ChurchCRM logs for suspicious GET requests to GeoPage.php containing JavaScript code.
grep -i 'javascript:' /var/log/apache2/access.log | grep GeoPage.php• php: Check for modified GeoPage.php files containing suspicious code.
diff /path/to/original/GeoPage.php /path/to/current/GeoPage.php• generic web: Monitor web server access logs for unusual user agent strings or referrer headers associated with requests to GeoPage.php. • generic web: Inspect response headers for signs of XSS payloads being served. • generic web: Use a vulnerability scanner to identify the XSS vulnerability in GeoPage.php.
disclosure
patch
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar ChurchCRM a la versión 7.1.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en GeoPage.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Monitorear los registros de acceso y error en busca de patrones de inyección de código también puede ayudar a detectar y prevenir ataques.
Actualice ChurchCRM a la versión 7.1.0 o posterior para mitigar la vulnerabilidad de XSS en GeoPage.php. Esta actualización corrige la forma en que se manejan las entradas de usuario, evitando la inyección de código JavaScript malicioso. Asegúrese de realizar una copia de seguridad de su base de datos antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39332 is a reflected Cross-Site Scripting (XSS) vulnerability in ChurchCRM versions 0.0.0 through 7.0.x, allowing attackers to inject JavaScript code.
If you are using ChurchCRM versions 0.0.0 through 7.0.x, you are potentially affected by this vulnerability. Upgrade to 7.1.0 or later to mitigate the risk.
The recommended fix is to upgrade ChurchCRM to version 7.1.0 or later. Temporary workarounds include input validation and WAF rules.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation makes it a potential target.
Refer to the ChurchCRM website and security advisories for the latest information and official announcements regarding CVE-2026-39332.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.