Plateforme
php
Composant
churchcrm
Corrigé dans
7.1.1
La vulnérabilité CVE-2026-39333 est une faille de Cross-Site Scripting (XSS) affectant ChurchCRM, un système de gestion d'église open-source. Cette vulnérabilité, présente dans les versions antérieures à 7.1.0, permet à un attaquant authentifié d'injecter du code JavaScript malveillant. L'exploitation réussie peut compromettre la sécurité des utilisateurs authentifiés. Une correction a été déployée dans la version 7.1.0.
Cette vulnérabilité XSS se manifeste via l'endpoint FindFundRaiser.php. Un attaquant authentifié peut manipuler les paramètres DateStart et DateEnd dans une URL malicieuse, injectant ainsi du code JavaScript dans les attributs des champs de saisie HTML. Lorsqu'un autre utilisateur authentifié visite cette URL, le code JavaScript malveillant s'exécute dans son contexte de navigateur. Cela peut permettre à l'attaquant de voler des cookies de session, de rediriger l'utilisateur vers un site web malveillant, ou de modifier le contenu de la page web affichée. Le risque est d'une perte de confidentialité et d'intégrité des données.
La vulnérabilité a été rendue publique le 2026-04-07. Il n'y a pas d'indications d'une exploitation active à ce jour. Bien qu'il n'y ait pas de Proof-of-Concept (PoC) public connu, la nature de la vulnérabilité XSS la rend potentiellement exploitable par des acteurs malveillants. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour toute nouvelle information.
Organizations and individuals using ChurchCRM versions 0.0.0 through 7.0, particularly those with limited security expertise or those who do not regularly update their software, are at significant risk. Shared hosting environments where multiple ChurchCRM instances reside are also at increased risk, as a compromise of one instance could potentially impact others.
• php: Examine ChurchCRM logs for unusual activity related to the FindFundRaiser.php endpoint, specifically looking for requests containing suspicious characters in the DateStart and DateEnd parameters.
• generic web: Use curl to test the FindFundRaiser.php endpoint with various payloads in the DateStart and DateEnd parameters. Example:
curl 'http://churchcrm/FindFundRaiser.php?DateStart=<script>alert("XSS")</script>&DateEnd=2024-12-31'• generic web: Review access logs for requests to FindFundRaiser.php containing unusual characters or patterns in the DateStart and DateEnd parameters. Look for patterns indicative of XSS attempts.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour ChurchCRM vers la version 7.1.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de désactiver temporairement l'endpoint FindFundRaiser.php si possible. En attendant la mise à jour, une configuration de Web Application Firewall (WAF) peut être mise en place pour filtrer les requêtes contenant des caractères spéciaux dans les paramètres DateStart et DateEnd. Vérifiez après la mise à jour que la vulnérabilité est bien corrigée en accédant à l'endpoint FindFundRaiser.php avec des paramètres contenant des caractères potentiellement malveillants et assurez-vous qu'ils sont correctement encodés.
Actualice ChurchCRM a la versión 7.1.0 o posterior para mitigar la vulnerabilidad de XSS. Esta versión corrige el problema de codificación de salida en los parámetros DateStart y DateEnd del endpoint FindFundRaiser.php, evitando la ejecución de código JavaScript malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39333 is a reflected XSS vulnerability in ChurchCRM versions 0.0.0 through 7.0, allowing attackers to inject JavaScript via the DateStart and DateEnd parameters in FindFundRaiser.php.
You are affected if you are using ChurchCRM versions 0.0.0 through 7.0. Upgrade to version 7.1.0 or later to mitigate the risk.
Upgrade ChurchCRM to version 7.1.0 or later. As a temporary workaround, implement a WAF rule to filter suspicious requests to FindFundRaiser.php.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants prompt remediation.
Refer to the ChurchCRM website and security advisories for the latest information and updates regarding CVE-2026-39333.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.