प्लेटफ़ॉर्म
php
घटक
churchcrm
में ठीक किया गया
7.1.1
CVE-2026-39333 ChurchCRM में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है। यह भेद्यता हमलावरों को दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करने की अनुमति देती है, जिससे अन्य प्रमाणित उपयोगकर्ताओं के ब्राउज़र में कोड निष्पादित हो सकता है। यह भेद्यता ChurchCRM के संस्करण 0.0.0 से 7.1.0 तक के संस्करणों को प्रभावित करती है। संस्करण 7.1.0 में इस समस्या का समाधान किया गया है।
यह XSS भेद्यता हमलावरों को चर्च प्रबंधन प्रणाली के भीतर अन्य प्रमाणित उपयोगकर्ताओं के ब्राउज़र में मनमाना JavaScript कोड निष्पादित करने की अनुमति देती है। हमलावर संवेदनशील जानकारी चुरा सकते हैं, जैसे कि उपयोगकर्ता नाम और पासवर्ड, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकते हैं। वे उपयोगकर्ता के ब्राउज़र के माध्यम से अन्य दुर्भावनापूर्ण कार्य भी कर सकते हैं, जैसे कि फ़िशिंग हमले शुरू करना या सिस्टम को दूषित करना। चूंकि ChurchCRM एक चर्च प्रबंधन प्रणाली है, इसलिए इस भेद्यता का उपयोग चर्च के सदस्यों की व्यक्तिगत जानकारी को चुराने या चर्च के संचालन को बाधित करने के लिए किया जा सकता है।
यह भेद्यता सार्वजनिक रूप से 2026-04-07 को प्रकाशित हुई थी। वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन XSS भेद्यताएँ आम तौर पर शोषण योग्य होती हैं। CISA KEV सूची में अभी तक शामिल नहीं है। भेद्यता की गंभीरता को उच्च माना जाता है क्योंकि यह प्रमाणित उपयोगकर्ताओं को लक्षित करती है और संभावित रूप से संवेदनशील जानकारी को उजागर कर सकती है।
Organizations and individuals using ChurchCRM versions 0.0.0 through 7.0, particularly those with limited security expertise or those who do not regularly update their software, are at significant risk. Shared hosting environments where multiple ChurchCRM instances reside are also at increased risk, as a compromise of one instance could potentially impact others.
• php: Examine ChurchCRM logs for unusual activity related to the FindFundRaiser.php endpoint, specifically looking for requests containing suspicious characters in the DateStart and DateEnd parameters.
• generic web: Use curl to test the FindFundRaiser.php endpoint with various payloads in the DateStart and DateEnd parameters. Example:
curl 'http://churchcrm/FindFundRaiser.php?DateStart=<script>alert("XSS")</script>&DateEnd=2024-12-31'• generic web: Review access logs for requests to FindFundRaiser.php containing unusual characters or patterns in the DateStart and DateEnd parameters. Look for patterns indicative of XSS attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
ChurchCRM के संस्करण 7.1.0 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके DateStart और DateEnd पैरामीटर के लिए इनपुट सत्यापन लागू किया जा सकता है। इसके अतिरिक्त, ChurchCRM इंस्टेंस के लिए सुरक्षा ऑडिट करना और किसी भी असामान्य गतिविधि की निगरानी करना महत्वपूर्ण है। सुनिश्चित करें कि सभी उपयोगकर्ता मजबूत पासवर्ड का उपयोग करते हैं और फ़िशिंग हमलों के बारे में जागरूक हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, FindFundRaiser.php एंडपॉइंट पर एक परीक्षण हमला करें।
Actualice ChurchCRM a la versión 7.1.0 o posterior para mitigar la vulnerabilidad de XSS. Esta versión corrige el problema de codificación de salida en los parámetros DateStart y DateEnd del endpoint FindFundRaiser.php, evitando la ejecución de código JavaScript malicioso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-39333 ChurchCRM में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को अन्य प्रमाणित उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण JavaScript कोड निष्पादित करने की अनुमति देती है।
यदि आप ChurchCRM के संस्करण 0.0.0 से 7.1.0 तक का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
ChurchCRM के संस्करण 7.1.0 में अपग्रेड करना इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका है।
वर्तमान में, इस भेद्यता के लिए कोई सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) नहीं है, लेकिन XSS भेद्यताएँ आम तौर पर शोषण योग्य होती हैं।
कृपया ChurchCRM वेबसाइट पर जाएं या नवीनतम सुरक्षा जानकारी के लिए उनके डेवलपर से संपर्क करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।