प्लेटफ़ॉर्म
php
घटक
churchcrm
में ठीक किया गया
7.1.1
ChurchCRM एक ओपन-सोर्स चर्च प्रबंधन प्रणाली है। CVE-2026-35534 एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो ChurchCRM के संस्करण 0.0.0 से 7.1.0 तक के संस्करणों में मौजूद है। यह भेद्यता PersonView.php में गलत sanitizeText() फ़ंक्शन के उपयोग के कारण उत्पन्न होती है, जो HTML विशेषता संदर्भ के लिए आउटपुट सैनिटाइज़र के रूप में अपर्याप्त है। संस्करण 7.1.0 में इस समस्या का समाधान किया गया है।
यह XSS भेद्यता एक प्रमाणित उपयोगकर्ता को किसी व्यक्ति के Facebook फ़ील्ड में दुर्भावनापूर्ण JavaScript कोड संग्रहीत करने की अनुमति देती है। जब कोई अन्य उपयोगकर्ता, जिसमें व्यवस्थापक भी शामिल हैं, उस व्यक्ति के प्रोफाइल पेज को देखता है, तो यह कोड निष्पादित हो जाएगा। एक हमलावर इस भेद्यता का उपयोग उपयोगकर्ता के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने के लिए कर सकता है, जिससे सत्र कुकीज़ चोरी हो सकती हैं, उपयोगकर्ता को फ़िशिंग वेबसाइटों पर रीडायरेक्ट किया जा सकता है, या वेबसाइट की सामग्री को संशोधित किया जा सकता है। यह भेद्यता ChurchCRM उपयोगकर्ताओं के लिए गंभीर जोखिम पैदा करती है, क्योंकि यह हमलावरों को संवेदनशील जानकारी तक पहुंचने और सिस्टम को नियंत्रित करने की अनुमति दे सकती है।
CVE-2026-35534 को अभी तक सक्रिय रूप से शोषण करने के कोई प्रमाण नहीं मिले हैं। यह भेद्यता सार्वजनिक रूप से ज्ञात है और एक सार्वजनिक प्रमाण-अवधारणा (PoC) उपलब्ध हो सकती है। CISA KEV सूची में इसकी स्थिति अभी तक निर्धारित नहीं की गई है। NVD और CISA ने 2026-04-07 को इस भेद्यता को प्रकाशित किया।
Churches and organizations using ChurchCRM versions 0.0.0 through 7.0 are at risk. This includes smaller churches relying on open-source solutions and organizations with limited security resources. Shared hosting environments where multiple ChurchCRM instances reside on the same server are particularly vulnerable, as a compromise of one instance could potentially impact others.
• php: Examine ChurchCRM's PersonView.php file for instances of sanitizeText() being used to sanitize HTML attributes. Search for suspicious JavaScript code within the Facebook field data.
• generic web: Monitor access logs for requests to PersonView.php with unusual parameters or POST data. Look for patterns indicative of XSS attempts.
• generic web: Use a WAF to detect and block XSS payloads targeting the Facebook field. Configure rules to identify and block requests containing suspicious JavaScript code.
• generic web: Review user profiles for unexpected or malicious content in the Facebook field.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, ChurchCRM को संस्करण 7.1.0 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके इनपुट को सैनिटाइज़ करने का प्रयास करें। इसके अतिरिक्त, Facebook फ़ील्ड में उपयोगकर्ता इनपुट को सीमित करने या फ़िल्टर करने के लिए ChurchCRM के कॉन्फ़िगरेशन को संशोधित किया जा सकता है। यह सुनिश्चित करें कि सभी उपयोगकर्ता मजबूत पासवर्ड का उपयोग करें और फ़िशिंग हमलों के प्रति सतर्क रहें। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, प्रोफाइल पेज पर दुर्भावनापूर्ण कोड इंजेक्ट करने का प्रयास करके।
Actualice ChurchCRM a la versión 7.1.0 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al sanear correctamente los atributos HTML, evitando la inyección de JavaScript malicioso en el campo Facebook.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-35534 ChurchCRM में एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप ChurchCRM के संस्करण 0.0.0 से 7.1.0 का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
ChurchCRM को संस्करण 7.1.0 में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF का उपयोग करें या Facebook फ़ील्ड में इनपुट को सीमित करें।
CVE-2026-35534 के सक्रिय शोषण के कोई ज्ञात प्रमाण नहीं हैं, लेकिन यह सार्वजनिक रूप से ज्ञात है।
ChurchCRM की आधिकारिक सलाह उनकी वेबसाइट पर उपलब्ध होनी चाहिए: [ChurchCRM website - replace with actual URL]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।