Platform
php
Component
crm
Opgelost in
5.13.1
CVE-2025-1024 describes a Reflected Cross-Site Scripting (XSS) vulnerability affecting ChurchCRM versions up to 5.13.0. This flaw allows attackers to inject malicious JavaScript code into a victim's browser, potentially leading to session hijacking and unauthorized actions. The vulnerability resides within the EditEventAttendees.php page and requires administrative privileges to exploit. A patch is available in version 5.13.1.
Er bestaat een kwetsbaarheid in ChurchCRM 5.13.0 (CVE-2025-1024) die een aanvaller in staat stelt willekeurige JavaScript-code uit te voeren in de browser van een slachtoffer via een Reflected Cross-Site Scripting (XSS)-kwetsbaarheid in de EditEventAttendees.php pagina. Deze fout vereist Administrator privileges en beïnvloedt de EID parameter. De kwetsbaarheid stelt een aanvaller in staat sessiecookies te stelen, acties uit te voeren namens een geauthenticeerde gebruiker en ongeautoriseerde toegang tot de applicatie te krijgen. Dit vormt een aanzienlijk risico, aangezien een succesvolle exploitatie kan leiden tot een volledige compromittering van ChurchCRM instanties en blootstelling van gevoelige gegevens. De reflecterende aard van XSS betekent dat het kwaadaardige script direct terug wordt weergegeven aan de gebruiker, waardoor exploitatie relatief eenvoudig is.
De kwetsbaarheid wordt uitgebuit door een kwaadaardige URL te creëren die JavaScript-code bevat die in de EID parameter binnen de EditEventAttendees.php pagina is geïnjecteerd. Een administrator, bij het klikken op deze link, zal de JavaScript-code in hun browsercontext uitvoeren. De reflecterende XSS-aard betekent dat de server de kwaadaardige payload direct teruggeeft aan de gebruiker. Een succesvolle exploitatie hangt af van het misleiden van een administrator om op de kwaadaardige link te klikken, vaak door middel van social engineering tactieken. Het ontbreken van de juiste invoervalidatie stelt de aanvaller in staat om willekeurige JavaScript-code te injecteren en uit te voeren.
Organizations utilizing ChurchCRM, particularly those with administrative users who may be targeted by social engineering attacks, are at risk. Shared hosting environments where multiple ChurchCRM instances reside on the same server could potentially expose multiple organizations to this vulnerability if one instance is compromised.
• php: Examine access logs for suspicious requests to EditEventAttendees.php containing unusual characters or JavaScript code in the EID parameter. Look for patterns like <script> or javascript:.
grep -i 'script|javascript' /var/log/apache2/access.log | grep EditEventAttendees.php• generic web: Use curl to test the EditEventAttendees.php endpoint with a simple XSS payload (e.g., <script>alert('XSS')</script>) in the EID parameter and observe the response for signs of script execution.
curl 'http://your-churchcrm-instance/EditEventAttendees.php?EID=<script>alert("XSS")</script>' -sdisclosure
Exploit Status
EPSS
0.16% (37% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-1024 is het upgraden van ChurchCRM naar versie 5.13.1 of hoger. Deze versie bevat de noodzakelijke fix voor de XSS-kwetsbaarheid. Ondertussen, implementeer robuuste invoervalidatie en uitvoer sanitatie, met name voor de EID parameter in EditEventAttendees.php. Controleer en beperk administrator privileges, verleen alleen toegang aan degenen die het nodig hebben. Controleer regelmatig de applicatielogboeken op verdachte activiteiten. Overweeg het implementeren van een Content Security Policy (CSP) om de uitvoering van inline scripts verder te beperken. Proactieve beveiligingsmaatregelen en tijdige patches zijn cruciaal voor het behoud van de integriteit van ChurchCRM implementaties.
Actualice ChurchCRM a una versión posterior a la 5.13.0 para corregir la vulnerabilidad XSS. Esto evitará que atacantes ejecuten scripts maliciosos en el navegador de los usuarios y roben sus sesiones. Consulte el registro de cambios de ChurchCRM para obtener detalles sobre la versión corregida.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Reflected XSS treedt op wanneer kwaadaardig JavaScript wordt geïnjecteerd in een website's invoerveld en vervolgens wordt teruggegeven aan de gebruiker in de reactie.
Admin privileges verlenen de aanvaller verhoogde toegang, waardoor ze acties kunnen uitvoeren die een reguliere gebruiker niet kan, wat het potentiële schade risico aanzienlijk vergroot.
Wijzig onmiddellijk alle administrator wachtwoorden, bekijk de applicatielogboeken op verdachte activiteiten en overweeg een volledig beveiligingsaudit.
Hoewel het upgraden de beste oplossing is, kan het implementeren van strikte invoervalidatie en uitvoer sanitatie een zekere mate van bescherming bieden.
Raadpleeg de officiële ChurchCRM documentatie of website voor instructies over het upgraden naar versie 5.13.1 of hoger.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.