ChurchCRM には Person Profile - Add a Note における Stored XSS が存在します

このXSS脆弱性は、攻撃者がChurchCRMのNote Editorを通じて悪意のあるJavaScriptコードを挿入できることを意味します。このコードは、他のユーザー（管理者を含む）がChurchCRMにアクセスした際に実行され、攻撃者はセッションクッキーを盗み、ユーザーになりすましてChurchCRMにアクセスできます。これにより、教会メンバーの個人情報や財務情報などの機密データが漏洩するリスクがあります。攻撃者は、この脆弱性を利用して、ChurchCRMシステム全体を制御する可能性もあります。この脆弱性は、他のXSS脆弱性と同様に、ユーザーのブラウザを介して攻撃が実行されるため、防御が困難な場合があります。

Churches and religious organizations utilizing ChurchCRM versions 6.5.0 through 6.5.2 are at direct risk. Organizations with shared hosting environments or those that have granted broad note-adding permissions to multiple users are particularly vulnerable, as the attack surface is increased.

• php: Examine ChurchCRM logs for suspicious JavaScript code being injected into notes. Search for unusual characters or patterns commonly associated with XSS payloads.

grep -i 'alert\(' /var/log/churchcrm/error.log

• generic web: Monitor access logs for requests containing suspicious URL parameters or POST data that could be indicative of XSS attempts.

grep -i '<script' /var/log/apache2/access.log

1. 2026-04-07Disclosure

   disclosure

1. 予約済み2026-04-03
2. 公開日2026-04-07
3. EPSS 更新日2026-04-15

ChurchCRMのバージョン6.5.3へのアップデートが最も効果的な対策です。アップデートがすぐに利用できない場合は、Note Editorへの入力内容を厳しく検証し、悪意のあるスクリプトが挿入されないようにする必要があります。Webアプリケーションファイアウォール(WAF)を導入し、XSS攻撃を検知・防御することも有効です。また、ChurchCRMのアクセス制御を強化し、不要なユーザーへのアクセスを制限することも重要です。アップデート後、ChurchCRMのセキュリティ設定を確認し、不正なアクセスがないか監視してください。