Platform
php
Component
churchcrm
Opgelost in
7.1.1
CVE-2026-35534 beschrijft een stored cross-site scripting (XSS) kwetsbaarheid in ChurchCRM, een open-source kerkbeheersysteem. Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om kwaadaardige JavaScript code uit te voeren in de browser van een andere gebruiker. De kwetsbaarheid treedt op in PersonView.php, waar de sanitizeText() functie onvoldoende sanitatie uitvoert voor HTML-attributen. Versies van ChurchCRM tussen 0.0.0 en 7.1.0 zijn kwetsbaar. Een fix is beschikbaar in versie 7.1.0.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript code uit te voeren in de context van de getroffen gebruiker. Dit kan leiden tot sessie-hijacking, het stelen van gevoelige informatie (zoals inloggegevens of persoonlijke gegevens), het omleiden van gebruikers naar kwaadaardige websites, of het manipuleren van de gebruikersinterface van ChurchCRM. Aangezien de kwetsbaarheid vereist dat de aanvaller de 'EditRecords' rol heeft, is de impact beperkt tot gebruikers met deze permissies. De kwetsbaarheid is bijzonder gevaarlijk omdat deze kan worden gebruikt om beheerders te compromitteren, wat de controle over het gehele ChurchCRM systeem in handen van de aanvaller kan leggen.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er zijn momenteel geen meldingen van actieve exploitatie in de wild, maar de relatief eenvoudige exploitatie maakt het waarschijnlijk dat dit in de toekomst kan gebeuren. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en CISA (Cybersecurity and Infrastructure Security Agency) advisories. De CVSS score van 7.6 (HIGH) duidt op een significant risico.
Churches and organizations using ChurchCRM versions 0.0.0 through 7.0 are at risk. This includes smaller churches relying on open-source solutions and organizations with limited security resources. Shared hosting environments where multiple ChurchCRM instances reside on the same server are particularly vulnerable, as a compromise of one instance could potentially impact others.
• php: Examine ChurchCRM's PersonView.php file for instances of sanitizeText() being used to sanitize HTML attributes. Search for suspicious JavaScript code within the Facebook field data.
• generic web: Monitor access logs for requests to PersonView.php with unusual parameters or POST data. Look for patterns indicative of XSS attempts.
• generic web: Use a WAF to detect and block XSS payloads targeting the Facebook field. Configure rules to identify and block requests containing suspicious JavaScript code.
• generic web: Review user profiles for unexpected or malicious content in the Facebook field.
disclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-35534 is het upgraden van ChurchCRM naar versie 7.1.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de 'EditRecords' rol tot vertrouwde gebruikers. Het implementeren van een Web Application Firewall (WAF) met regels die XSS-pogingen detecteren en blokkeren kan ook helpen. Controleer de ChurchCRM logs op verdachte patronen die wijzen op pogingen tot XSS-exploitatie. Na de upgrade, verifieer de fix door een testgebruiker met de 'EditRecords' rol een kwaadaardig script in het Facebook veld te plaatsen en controleer of dit niet wordt uitgevoerd bij het bekijken van het profiel.
Actualice ChurchCRM a la versión 7.1.0 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al sanear correctamente los atributos HTML, evitando la inyección de JavaScript malicioso en el campo Facebook.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35534 is a stored cross-site scripting (XSS) vulnerability in ChurchCRM versions 0.0.0 through 7.0, allowing authenticated users to inject malicious JavaScript.
If you are using ChurchCRM version 7.0 or earlier, you are potentially affected by this vulnerability. Upgrade to version 7.1.0 or later to mitigate the risk.
The recommended fix is to upgrade ChurchCRM to version 7.1.0 or later. If an upgrade is not immediately possible, implement input validation and output encoding as a temporary workaround.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential risk of exploitation.
Refer to the official ChurchCRM website and security advisories for the latest information and updates regarding CVE-2026-35534.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.