Plataforma
php
Componente
churchcrm
Corregido en
7.2.1
La vulnerabilidad CVE-2026-40581 es una falla de Cross-Site Request Forgery (CSRF) presente en ChurchCRM, un sistema de gestión eclesiástica de código abierto. Esta vulnerabilidad permite a un atacante, mediante la creación de una página maliciosa, eliminar permanentemente registros de familias y todos sus datos asociados, como notas, promesas, personas y propiedades, sin la necesidad de interacción por parte de un administrador autenticado. La vulnerabilidad afecta a versiones anteriores a 7.2.0 y ha sido solucionada en esta versión.
El impacto de esta vulnerabilidad es significativo, ya que un atacante puede comprometer la integridad de los datos de la iglesia. La eliminación permanente de registros de familias, incluyendo información sensible como datos personales, promesas financieras y relaciones interpersonales, puede causar daños irreparables a la organización. Un atacante podría, por ejemplo, eliminar todos los registros de donaciones, causando un impacto financiero devastador. La falta de validación CSRF en el endpoint de eliminación de registros facilita la explotación, ya que el atacante solo necesita engañar a un administrador autenticado para que visite una página maliciosa. Esta vulnerabilidad se asemeja a otros ataques CSRF que han afectado a sistemas de gestión de datos, donde la falta de protección adecuada puede llevar a la pérdida de información crítica.
La vulnerabilidad CVE-2026-40581 fue publicada el 17 de abril de 2026. Actualmente no se tiene conocimiento de campañas de explotación activas o de la inclusión en el KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-40581 es actualizar ChurchCRM a la versión 7.2.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda implementar medidas de protección CSRF adicionales. Esto puede incluir la adición de tokens CSRF a todas las solicitudes de eliminación de registros, así como la implementación de políticas de seguridad del navegador para prevenir ataques CSRF. Además, se recomienda revisar y fortalecer las políticas de contraseñas y la autenticación de usuarios para reducir el riesgo de acceso no autorizado. Después de la actualización, confirme que la funcionalidad de eliminación de registros requiere la confirmación explícita del usuario y que se utiliza un token CSRF válido.
Actualice ChurchCRM a la versión 7.2.0 o posterior para mitigar la vulnerabilidad de CSRF. Esta actualización implementa la validación de tokens CSRF en el endpoint de eliminación de registros familiares, previniendo la eliminación silenciosa de datos por parte de atacantes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40581 is a Cross-Site Request Forgery (CSRF) vulnerability in ChurchCRM versions before 7.2.0, allowing attackers to delete family records without user interaction.
You are affected if you are using ChurchCRM versions 0.0.0 through 7.1.9. Upgrade to 7.2.0 to resolve the issue.
Upgrade ChurchCRM to version 7.2.0 or later. As a temporary workaround, implement a WAF rule to protect the SelectDelete.php endpoint.
There is currently no evidence of CVE-2026-40581 being actively exploited in the wild.
Refer to the ChurchCRM security advisories page for the latest information: [https://www.churchcrm.org/security](https://www.churchcrm.org/security)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.