'username' パラメータを介したログインページのリフレッシュド XSS

このXSS脆弱性を悪用されると、攻撃者はURLに悪意のあるJavaScriptコードを埋め込むことで、ChurchCRMのログインページにそのコードを挿入できます。ユーザーがそのURLにアクセスすると、JavaScriptコードが実行され、攻撃者はセッションCookieを窃取したり、偽のログインフォームを表示するなど、様々な悪用が可能になります。これにより、ユーザーアカウントの乗っ取りや、ChurchCRMシステム全体の不正利用につながる可能性があります。この脆弱性は、ユーザーの機密情報漏洩や、システムの改ざんといった深刻な被害をもたらす可能性があります。

Churches and organizations utilizing ChurchCRM versions 0.0.0 through 7.0 are at risk. This includes deployments with limited security expertise and those relying on default configurations. Shared hosting environments where multiple ChurchCRM instances reside on the same server are particularly vulnerable, as a successful attack on one instance could potentially compromise others.

• php: Examine ChurchCRM application logs for suspicious URL parameters containing JavaScript code in the username field. Use grep to search for patterns like <script> or alert() within the logs.

grep -i '<script>.*alert\(.*\)' /var/log/apache2/access.log

• generic web: Monitor access logs for requests to the login page with unusual or excessively long username parameters. Use curl to test the login page with a simple XSS payload and observe the response.

curl 'http://churchcrm.example.com/login.php?username=<script>alert("XSS")</script>' -s

1. 2026-04-07Disclosure

   disclosure

1. 予約済み2026-04-06
2. 公開日2026-04-07
3. 更新日2026-04-08
4. EPSS 更新日2026-04-15

ChurchCRMのバージョン7.1.0へのアップデートが最も効果的な対策です。もしアップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を導入し、XSS攻撃を検知・防御するルールを設定することを検討してください。また、入力値の検証を強化し、URLパラメータに不審な文字列が含まれていないか確認するなどの対策も有効です。ChurchCRMの構成設定を見直し、不要な機能やアクセスを制限することも、攻撃対象領域を縮小する上で重要です。