プラットフォーム
php
コンポーネント
crm
修正版
5.13.1
GHSA-84jj-m83w-7hmv は、shadeforge パッケージに存在する深刻な脆弱性です。この脆弱性の悪用により、攻撃者はシステムを完全に制御し、機密データにアクセスしたり、悪意のある活動を実行したりする可能性があります。影響を受けるのは、shadeforge パッケージがインストールされているシステムです。現時点では公式なパッチは提供されていませんが、秘密鍵のローテーションとパッケージの削除が推奨されます。
ChurchCRM 5.13.0 (CVE-2025-1024) には、EditEventAttendees.php ページにおける反射型クロスサイトスクリプティング (XSS) の脆弱性が存在し、攻撃者が被害者のブラウザで任意の JavaScript コードを実行できる可能性があります。この脆弱性は管理者権限を必要とし、EID パラメータに影響を与えます。攻撃者はこの脆弱性を悪用して、セッションクッキーを盗み、認証されたユーザーになりすまして操作を実行し、アプリケーションへの不正アクセスを得ることができます。これは、ChurchCRM インスタンスの完全な侵害と機密データの漏洩につながる可能性があるため、重大なリスクとなります。XSS の反射的性質により、悪意のあるスクリプトがユーザーに直接返されるため、悪用が比較的容易になります。
この脆弱性は、EditEventAttendees.php ページ内の EID パラメータに JavaScript コードを注入した悪意のある URL を作成することによって悪用されます。このリンクをクリックすると、管理者は自分のブラウザコンテキストで JavaScript コードを実行します。XSS の反射的性質により、サーバーは悪意のあるペイロードをユーザーに直接返します。悪意のあるリンクをクリックするように管理者を騙すことが、成功した悪用の鍵となります。これは、多くの場合、ソーシャルエンジニアリング戦術によって行われます。適切な入力検証の欠如により、攻撃者は任意の JavaScript コードを注入して実行できます。
Organizations utilizing ChurchCRM, particularly those with administrative users who may be targeted by social engineering attacks, are at risk. Shared hosting environments where multiple ChurchCRM instances reside on the same server could potentially expose multiple organizations to this vulnerability if one instance is compromised.
• php: Examine access logs for suspicious requests to EditEventAttendees.php containing unusual characters or JavaScript code in the EID parameter. Look for patterns like <script> or javascript:.
grep -i 'script|javascript' /var/log/apache2/access.log | grep EditEventAttendees.php• generic web: Use curl to test the EditEventAttendees.php endpoint with a simple XSS payload (e.g., <script>alert('XSS')</script>) in the EID parameter and observe the response for signs of script execution.
curl 'http://your-churchcrm-instance/EditEventAttendees.php?EID=<script>alert("XSS")</script>' -sdisclosure
エクスプロイト状況
EPSS
0.16% (37% パーセンタイル)
CISA SSVC
CVE-2025-1024 の主な軽減策は、ChurchCRM をバージョン 5.13.1 以降にアップグレードすることです。このバージョンには、XSS 脆弱性に対する必要な修正が含まれています。その間は、特に EditEventAttendees.php ページの EID パラメータについて、堅牢な入力検証と出力サニタイズを実装してください。管理者権限を見直し、制限し、必要な場合にのみアクセスを許可します。疑わしいアクティビティがないか、アプリケーションログを定期的に監視してください。インラインスクリプトの実行をさらに制限するために、Content Security Policy (CSP) の実装を検討してください。積極的なセキュリティ対策とタイムリーなパッチ適用は、ChurchCRM デプロイメントの整合性を維持するために不可欠です。
Actualice ChurchCRM a una versión posterior a la 5.13.0 para corregir la vulnerabilidad XSS. Esto evitará que atacantes ejecuten scripts maliciosos en el navegador de los usuarios y roben sus sesiones. Consulte el registro de cambios de ChurchCRM para obtener detalles sobre la versión corregida.
脆弱性分析と重要アラートをメールでお届けします。
反射型 XSS は、悪意のある JavaScript が Web サイトの入力フィールドに注入され、その応答でユーザーに返される場合に発生します。
管理者権限は、攻撃者に広範なアクセス権を付与し、通常のユーザーが実行できないアクションを実行できるようにするため、潜在的な損害のリスクが大幅に増加します。
すぐにすべての管理者パスワードを変更し、アプリケーションログで疑わしいアクティビティを確認し、完全なセキュリティ監査を検討してください。
アップグレードが最良のソリューションですが、厳格な入力検証と出力サニタイズを実装することで、ある程度の保護を提供できます。
ChurchCRM の公式ドキュメントまたは Web サイトを参照して、バージョン 5.13.1 以降にアップグレードする方法に関する手順を確認してください。