Plataforma
php
Componente
churchcrm
Corregido en
7.1.1
La vulnerabilidad CVE-2026-39333 es una vulnerabilidad de Cross-Site Scripting (XSS) reflejado descubierta en ChurchCRM, un sistema de gestión eclesiástica de código abierto. Un atacante autenticado puede inyectar código JavaScript malicioso que se ejecuta en el navegador de otros usuarios autenticados al visitar una URL especialmente diseñada. Esta vulnerabilidad afecta a las versiones desde 0.0.0 hasta la 7.0.9, y ha sido solucionada en la versión 7.1.0.
Esta vulnerabilidad XSS reflejado permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de otro usuario autenticado en ChurchCRM. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o la ejecución de acciones en nombre del usuario afectado. El impacto es significativo, ya que un atacante podría comprometer cuentas de usuario y acceder a información sensible almacenada en el sistema ChurchCRM. La ejecución de JavaScript arbitraria abre la puerta a una amplia gama de ataques, incluyendo la exfiltración de datos y la manipulación de la aplicación.
La vulnerabilidad CVE-2026-39333 fue publicada el 7 de abril de 2026. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. Sin embargo, dada la naturaleza de las vulnerabilidades XSS, es probable que se desarrollen exploits públicos en el futuro. Se recomienda monitorear activamente los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations and individuals using ChurchCRM versions 0.0.0 through 7.0, particularly those with limited security expertise or those who do not regularly update their software, are at significant risk. Shared hosting environments where multiple ChurchCRM instances reside are also at increased risk, as a compromise of one instance could potentially impact others.
• php: Examine ChurchCRM logs for unusual activity related to the FindFundRaiser.php endpoint, specifically looking for requests containing suspicious characters in the DateStart and DateEnd parameters.
• generic web: Use curl to test the FindFundRaiser.php endpoint with various payloads in the DateStart and DateEnd parameters. Example:
curl 'http://churchcrm/FindFundRaiser.php?DateStart=<script>alert("XSS")</script>&DateEnd=2024-12-31'• generic web: Review access logs for requests to FindFundRaiser.php containing unusual characters or patterns in the DateStart and DateEnd parameters. Look for patterns indicative of XSS attempts.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar ChurchCRM a la versión 7.1.0 o superior, que incluye la corrección para la vulnerabilidad XSS. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el endpoint FindFundRaiser.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos en los parámetros DateStart y DateEnd. Es crucial revisar y fortalecer las políticas de contraseñas y la autenticación multifactor para reducir el riesgo de compromiso de cuentas.
Actualice ChurchCRM a la versión 7.1.0 o posterior para mitigar la vulnerabilidad de XSS. Esta versión corrige el problema de codificación de salida en los parámetros DateStart y DateEnd del endpoint FindFundRaiser.php, evitando la ejecución de código JavaScript malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39333 is a reflected XSS vulnerability in ChurchCRM versions 0.0.0 through 7.0, allowing attackers to inject JavaScript via the DateStart and DateEnd parameters in FindFundRaiser.php.
You are affected if you are using ChurchCRM versions 0.0.0 through 7.0. Upgrade to version 7.1.0 or later to mitigate the risk.
Upgrade ChurchCRM to version 7.1.0 or later. As a temporary workaround, implement a WAF rule to filter suspicious requests to FindFundRaiser.php.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants prompt remediation.
Refer to the ChurchCRM website and security advisories for the latest information and updates regarding CVE-2026-39333.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.