Plataforma
php
Componente
churchcrm
Corregido en
7.1.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en ChurchCRM, un sistema de gestión eclesiástica de código abierto. Esta falla, presente en versiones anteriores a 7.1.0, se origina en la falta de sanitización o codificación del parámetro 'username' recibido a través de la URL. La explotación exitosa permite a un atacante inyectar y ejecutar scripts maliciosos en el navegador de la víctima, comprometiendo la seguridad de la aplicación.
La vulnerabilidad XSS en ChurchCRM permite a un atacante inyectar código JavaScript malicioso en la página de inicio de sesión. Al manipular el parámetro 'username' en la URL, el atacante puede lograr que el navegador del usuario ejecute este código. Esto puede resultar en el robo de cookies de sesión, permitiendo al atacante hacerse pasar por el usuario legítimo. Además, el atacante podría modificar la apariencia de la página de inicio de sesión para mostrar un formulario de inicio de sesión falso, robando credenciales de usuario. La falta de sanitización adecuada del parámetro 'username' es la causa raíz de esta vulnerabilidad, facilitando la inyección de código malicioso.
Esta vulnerabilidad ha sido publicada el 2026-04-07. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS reflejado la hace fácilmente explotable. La falta de autenticación requerida para manipular el parámetro 'username' aumenta la probabilidad de explotación. Se recomienda monitorear los registros de acceso en busca de patrones sospechosos relacionados con la manipulación de la URL de inicio de sesión.
Churches and organizations utilizing ChurchCRM versions 0.0.0 through 7.0 are at risk. This includes deployments with limited security expertise and those relying on default configurations. Shared hosting environments where multiple ChurchCRM instances reside on the same server are particularly vulnerable, as a successful attack on one instance could potentially compromise others.
• php: Examine ChurchCRM application logs for suspicious URL parameters containing JavaScript code in the username field. Use grep to search for patterns like <script> or alert() within the logs.
grep -i '<script>.*alert\(.*\)' /var/log/apache2/access.log• generic web: Monitor access logs for requests to the login page with unusual or excessively long username parameters. Use curl to test the login page with a simple XSS payload and observe the response.
curl 'http://churchcrm.example.com/login.php?username=<script>alert("XSS")</script>' -sdisclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar ChurchCRM a la versión 7.1.0 o superior, que incluye la corrección de seguridad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Estas medidas incluyen la validación y codificación de todas las entradas de usuario en el lado del servidor, así como la implementación de políticas de seguridad de contenido (CSP) para restringir la ejecución de scripts desde fuentes no confiables. Después de la actualización, confirme que el parámetro 'username' en la URL de inicio de sesión se codifica correctamente para prevenir la inyección de scripts.
Actualice a la versión 7.1.0 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige la falta de sanitización o codificación del parámetro 'username' en la página de inicio de sesión, evitando la inyección de scripts maliciosos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39344 is a Reflected Cross-Site Scripting (XSS) vulnerability in ChurchCRM versions 0.0.0 through 7.0, allowing attackers to inject malicious JavaScript into the login page.
You are affected if you are using ChurchCRM versions 0.0.0 through 7.0. Upgrade to version 7.1.0 or later to resolve the vulnerability.
Upgrade ChurchCRM to version 7.1.0 or later. Consider implementing a WAF rule to filter malicious JavaScript in the username parameter as a temporary mitigation.
There is currently no indication of active exploitation campaigns, but public proof-of-concept code is likely to emerge.
Refer to the ChurchCRM website and security advisories for the official announcement and details regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.