Plateforme
php
Composant
churchcrm
Corrigé dans
7.1.1
Une vulnérabilité de cross-site scripting (XSS) stockée a été découverte dans ChurchCRM, un système de gestion d'église open-source. Cette faille, présente dans les versions 0.0.0 à antérieures à 7.1.0, se situe dans le fichier PersonView.php. Elle permet à un attaquant d'injecter du code JavaScript malveillant, affectant potentiellement tous les utilisateurs, y compris les administrateurs, qui consultent les profils concernés. Une version corrigée (7.1.0) est désormais disponible.
L'exploitation réussie de cette vulnérabilité XSS stockée permet à un attaquant d'injecter du code JavaScript arbitraire dans le navigateur des utilisateurs de ChurchCRM. Un utilisateur authentifié disposant du rôle EditRecords peut exploiter cette faille en stockant une charge utile malveillante dans le champ Facebook d'un profil utilisateur. Lorsque d'autres utilisateurs, y compris les administrateurs, consultent ce profil, le code JavaScript injecté s'exécute dans leur contexte de sécurité. Cela peut conduire au vol de cookies de session, au détournement de session, à la redirection vers des sites malveillants, ou à la modification du contenu affiché, compromettant ainsi l'intégrité et la confidentialité du système.
Cette vulnérabilité a été rendue publique le 2026-04-07. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature de la vulnérabilité XSS la rend potentiellement exploitable. Il est conseillé de prendre des mesures correctives rapidement pour minimiser le risque. La vulnérabilité n'est pas répertoriée sur le KEV de CISA à ce jour.
Churches and organizations using ChurchCRM versions 0.0.0 through 7.0 are at risk. This includes smaller churches relying on open-source solutions and organizations with limited security resources. Shared hosting environments where multiple ChurchCRM instances reside on the same server are particularly vulnerable, as a compromise of one instance could potentially impact others.
• php: Examine ChurchCRM's PersonView.php file for instances of sanitizeText() being used to sanitize HTML attributes. Search for suspicious JavaScript code within the Facebook field data.
• generic web: Monitor access logs for requests to PersonView.php with unusual parameters or POST data. Look for patterns indicative of XSS attempts.
• generic web: Use a WAF to detect and block XSS payloads targeting the Facebook field. Configure rules to identify and block requests containing suspicious JavaScript code.
• generic web: Review user profiles for unexpected or malicious content in the Facebook field.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour ChurchCRM vers la version 7.1.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à désactiver temporairement la fonctionnalité de modification des champs Facebook ou à implémenter une validation et un encodage rigoureux des données saisies dans ce champ. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les tentatives d'exploitation en filtrant les requêtes contenant des charges utiles XSS suspectes. Surveillez les journaux d'accès et d'erreurs pour détecter des tentatives d'injection de code JavaScript.
Actualice ChurchCRM a la versión 7.1.0 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al sanear correctamente los atributos HTML, evitando la inyección de JavaScript malicioso en el campo Facebook.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35534 is a stored cross-site scripting (XSS) vulnerability in ChurchCRM versions 0.0.0 through 7.0, allowing authenticated users to inject malicious JavaScript.
If you are using ChurchCRM version 7.0 or earlier, you are potentially affected by this vulnerability. Upgrade to version 7.1.0 or later to mitigate the risk.
The recommended fix is to upgrade ChurchCRM to version 7.1.0 or later. If an upgrade is not immediately possible, implement input validation and output encoding as a temporary workaround.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential risk of exploitation.
Refer to the official ChurchCRM website and security advisories for the latest information and updates regarding CVE-2026-35534.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.