プラットフォーム
php
コンポーネント
churchcrm
修正版
7.1.1
ChurchCRMは、オープンソースの教会管理システムです。CVE-2026-35534は、ChurchCRMのバージョン0.0.0から7.1.0未満に存在するStored XSS脆弱性です。この脆弱性は、PersonView.phpにおけるsanitizeText()関数の不適切な使用に起因し、認証されたユーザーがFacebookフィールドに悪意のあるスクリプトを保存することで、他のユーザー(管理者を含む)のブラウザ上でJavaScriptを実行する可能性があります。バージョン7.1.0へのアップデートで修正されました。
このXSS脆弱性を悪用されると、攻撃者はChurchCRMの管理権限を持つユーザーのブラウザ上で任意のJavaScriptコードを実行できます。これにより、機密情報の窃取、セッションハイジャック、フィッシング攻撃、さらにはシステム全体の制御奪取といった深刻な被害が発生する可能性があります。特に、管理者アカウントを標的とすることで、ChurchCRMシステム全体への影響が及ぶ可能性があります。攻撃者は、被害者のブラウザを介して、他のユーザーの個人情報や教会関連の機密データにアクセスしたり、悪意のあるリダイレクトを実行したりすることが可能です。この脆弱性は、類似のXSS攻撃と同様に、広範囲な被害をもたらす可能性があります。
この脆弱性は、2026年4月7日に公開されました。現時点では、公的なPoC(Proof of Concept)は確認されていませんが、XSS脆弱性であるため、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。この脆弱性は、ChurchCRMを使用している組織にとって、早急な対応が求められる状況です。
Churches and organizations using ChurchCRM versions 0.0.0 through 7.0 are at risk. This includes smaller churches relying on open-source solutions and organizations with limited security resources. Shared hosting environments where multiple ChurchCRM instances reside on the same server are particularly vulnerable, as a compromise of one instance could potentially impact others.
• php: Examine ChurchCRM's PersonView.php file for instances of sanitizeText() being used to sanitize HTML attributes. Search for suspicious JavaScript code within the Facebook field data.
• generic web: Monitor access logs for requests to PersonView.php with unusual parameters or POST data. Look for patterns indicative of XSS attempts.
• generic web: Use a WAF to detect and block XSS payloads targeting the Facebook field. Configure rules to identify and block requests containing suspicious JavaScript code.
• generic web: Review user profiles for unexpected or malicious content in the Facebook field.
disclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
ChurchCRMのバージョンを7.1.0にアップデートすることが、この脆弱性に対する最も効果的な対策です。アップデートが直ちに実行できない場合は、WAF(Web Application Firewall)を導入し、XSS攻撃を検知・防御するルールを設定することを推奨します。また、入力値の検証を強化し、sanitizeText()関数の使用方法を見直すことで、同様の脆弱性の発生を防止できます。ChurchCRMのログを監視し、不審なアクティビティがないか確認することも重要です。アップデート後、ChurchCRMのセキュリティ設定を確認し、不要な権限を削除するなど、セキュリティ強化策を講じてください。
Actualice ChurchCRM a la versión 7.1.0 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al sanear correctamente los atributos HTML, evitando la inyección de JavaScript malicioso en el campo Facebook.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-35534は、ChurchCRMのバージョン0.0.0~7.1.0未満に存在するStored XSS脆弱性です。攻撃者は、Facebookフィールドに悪意のあるスクリプトを保存し、他のユーザーのブラウザ上でJavaScriptを実行できます。
ChurchCRMのバージョンが0.0.0から7.1.0未満の場合、この脆弱性の影響を受けています。バージョン7.1.0にアップデートしてください。
ChurchCRMをバージョン7.1.0にアップデートしてください。アップデートができない場合は、WAFを導入し、入力値の検証を強化してください。
現時点では、公的なPoCは確認されていませんが、XSS脆弱性であるため、悪用される可能性は否定できません。
ChurchCRMの公式ウェブサイトまたはセキュリティアナウンスメントをご確認ください。
CVSS ベクトル