प्लेटफ़ॉर्म
php
घटक
crm
में ठीक किया गया
5.13.1
CVE-2025-1024 describes a Reflected Cross-Site Scripting (XSS) vulnerability affecting ChurchCRM versions up to 5.13.0. This flaw allows attackers to inject malicious JavaScript code into a victim's browser, potentially leading to session hijacking and unauthorized actions. The vulnerability resides within the EditEventAttendees.php page and requires administrative privileges to exploit. A patch is available in version 5.13.1.
ChurchCRM 5.13.0 (CVE-2025-1024) में एक भेद्यता मौजूद है जो एक हमलावर को EditEventAttendees.php पृष्ठ पर रिफ्लेक्टेड क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता के माध्यम से पीड़ित के ब्राउज़र में मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है। इस भेद्यता के लिए व्यवस्थापक विशेषाधिकारों की आवश्यकता होती है और यह EID पैरामीटर को प्रभावित करती है। एक हमलावर इस भेद्यता का उपयोग सत्र कुकीज़ को चुराने, प्रमाणित उपयोगकर्ता की ओर से कार्रवाई करने और एप्लिकेशन तक अनधिकृत पहुंच प्राप्त करने के लिए कर सकता है। यह एक महत्वपूर्ण जोखिम है क्योंकि सफल शोषण से ChurchCRM उदाहरणों का पूर्ण समझौता और संवेदनशील डेटा का खुलासा हो सकता है। XSS की रिफ्लेक्टेड प्रकृति का मतलब है कि दुर्भावनापूर्ण स्क्रिप्ट सीधे उपयोगकर्ता को वापस कर दी जाती है, जिससे शोषण अपेक्षाकृत आसान हो जाता है।
यह भेद्यता EditEventAttendees.php पृष्ठ पर EID पैरामीटर में इंजेक्ट किए गए जावास्क्रिप्ट कोड वाले दुर्भावनापूर्ण URL बनाकर शोषण किया जाता है। जब कोई व्यवस्थापक इस लिंक पर क्लिक करता है, तो उसका जावास्क्रिप्ट कोड उसके ब्राउज़र संदर्भ में निष्पादित होगा। XSS की रिफ्लेक्टेड प्रकृति का मतलब है कि सर्वर दुर्भावनापूर्ण पेलोड को सीधे उपयोगकर्ता को वापस कर देता है। सफल शोषण के लिए व्यवस्थापक को दुर्भावनापूर्ण लिंक पर क्लिक करने के लिए बरगलाने की आवश्यकता होती है, अक्सर सामाजिक इंजीनियरिंग तकनीकों के माध्यम से। उचित इनपुट सत्यापन की कमी हमलावर को मनमाना जावास्क्रिप्ट कोड इंजेक्ट और निष्पादित करने की अनुमति देती है।
Organizations utilizing ChurchCRM, particularly those with administrative users who may be targeted by social engineering attacks, are at risk. Shared hosting environments where multiple ChurchCRM instances reside on the same server could potentially expose multiple organizations to this vulnerability if one instance is compromised.
• php: Examine access logs for suspicious requests to EditEventAttendees.php containing unusual characters or JavaScript code in the EID parameter. Look for patterns like <script> or javascript:.
grep -i 'script|javascript' /var/log/apache2/access.log | grep EditEventAttendees.php• generic web: Use curl to test the EditEventAttendees.php endpoint with a simple XSS payload (e.g., <script>alert('XSS')</script>) in the EID parameter and observe the response for signs of script execution.
curl 'http://your-churchcrm-instance/EditEventAttendees.php?EID=<script>alert("XSS")</script>' -sdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.16% (37% शतमक)
CISA SSVC
CVE-2025-1024 के लिए प्राथमिक शमन ChurchCRM को संस्करण 5.13.1 या बाद के संस्करण में अपग्रेड करना है। इस संस्करण में XSS भेद्यता के लिए आवश्यक फिक्स शामिल है। इस बीच, विशेष रूप से EditEventAttendees.php पृष्ठ पर EID पैरामीटर के लिए मजबूत इनपुट सत्यापन और आउटपुट सैनिटाइजेशन लागू करें। व्यवस्थापक विशेषाधिकारों की समीक्षा करें और सीमित करें, केवल उन लोगों को पहुंच प्रदान करें जिन्हें इसकी आवश्यकता है। संदिग्ध गतिविधि के लिए नियमित रूप से एप्लिकेशन लॉग की निगरानी करें। इनलाइन स्क्रिप्ट के निष्पादन को और प्रतिबंधित करने के लिए सामग्री सुरक्षा नीति (CSP) लागू करने पर विचार करें। सक्रिय सुरक्षा उपाय और समय पर पैच ChurchCRM परिनियोजन की अखंडता बनाए रखने के लिए महत्वपूर्ण हैं।
Actualice ChurchCRM a una versión posterior a la 5.13.0 para corregir la vulnerabilidad XSS. Esto evitará que atacantes ejecuten scripts maliciosos en el navegador de los usuarios y roben sus sesiones. Consulte el registro de cambios de ChurchCRM para obtener detalles sobre la versión corregida.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
रिफ्लेक्टेड XSS तब होता है जब दुर्भावनापूर्ण जावास्क्रिप्ट को वेबसाइट के इनपुट फ़ील्ड में इंजेक्ट किया जाता है और फिर प्रतिक्रिया में उपयोगकर्ता को वापस कर दिया जाता है।
व्यवस्थापक विशेषाधिकार हमलावर को विस्तारित पहुंच प्रदान करते हैं, जिससे वे उन कार्यों को करने में सक्षम होते हैं जो एक सामान्य उपयोगकर्ता नहीं कर सकता है, जिससे संभावित क्षति का जोखिम काफी बढ़ जाता है।
तुरंत सभी व्यवस्थापक पासवर्ड बदलें, संदिग्ध गतिविधि के लिए एप्लिकेशन लॉग की जांच करें और पूर्ण सुरक्षा ऑडिट पर विचार करें।
हालांकि अपग्रेड सबसे अच्छा समाधान है, लेकिन सख्त इनपुट सत्यापन और आउटपुट सैनिटाइजेशन लागू करने से कुछ हद तक सुरक्षा प्रदान की जा सकती है।
संस्करण 5.13.1 या बाद के संस्करण में अपग्रेड करने के निर्देशों के लिए ChurchCRM के आधिकारिक दस्तावेज़ या वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।