Platform
php
Component
churchcrm
Opgelost in
6.5.4
CVE-2026-35574 beschrijft een stored Cross-Site Scripting (XSS) kwetsbaarheid in ChurchCRM, een open-source kerkbeheersysteem. Deze kwetsbaarheid stelt geauthenticeerde gebruikers met de juiste permissies in staat om willekeurige JavaScript-code uit te voeren in de browsers van andere gebruikers, inclusief beheerders. De kwetsbaarheid treft versies 6.5.0 tot en met 6.5.2 en is verholpen in versie 6.5.3.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan ernstige gevolgen hebben. Aanvallers kunnen JavaScript-code injecteren via de Note Editor, waardoor ze sessies kunnen kapen, gebruikersnamen en wachtwoorden kunnen stelen, en ongeautoriseerde toegang kunnen krijgen tot gevoelige kerkgegevens, zoals lidmaatschapsinformatie. Dit kan leiden tot identiteitsdiefstal, financiële fraude en reputatieschade voor de kerk. De impact is vergelijkbaar met andere XSS-aanvallen waarbij aanvallers de controle over een gebruikerssessie kunnen overnemen en handelingen kunnen uitvoeren namens de gebruiker.
Op het moment van publicatie (2026-04-07) is er geen informatie beschikbaar over actieve exploits of KEV-listing. Er zijn geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is echter inherent kritisch vanwege de mogelijkheid tot sessiejacking en privilege escalation binnen een kerkbeheersysteem.
Churches and religious organizations utilizing ChurchCRM versions 6.5.0 through 6.5.2 are at direct risk. Organizations with shared hosting environments or those that have granted broad note-adding permissions to multiple users are particularly vulnerable, as the attack surface is increased.
• php: Examine ChurchCRM logs for suspicious JavaScript code being injected into notes. Search for unusual characters or patterns commonly associated with XSS payloads.
grep -i 'alert\(' /var/log/churchcrm/error.log• generic web: Monitor access logs for requests containing suspicious URL parameters or POST data that could be indicative of XSS attempts.
grep -i '<script' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-35574 is het upgraden van ChurchCRM naar versie 6.5.3 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de permissies voor het toevoegen van notities aan gebruikers zonder de noodzaak om dit te doen. Implementeer een Web Application Firewall (WAF) met regels om XSS-aanvallen te detecteren en te blokkeren. Controleer de ChurchCRM-configuratie op onjuiste instellingen die de kwetsbaarheid kunnen verergeren. Na de upgrade, verifieer de fix door een testgebruiker een notitie te laten toevoegen en te controleren of de JavaScript-code niet wordt uitgevoerd.
Actualice ChurchCRM a la versión 6.5.3 o posterior para mitigar la vulnerabilidad de XSS. Asegúrese de realizar una copia de seguridad de su base de datos antes de actualizar. Revise los registros de auditoría para detectar cualquier actividad sospechosa después de la actualización.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-35574 is a stored Cross-Site Scripting (XSS) vulnerability in ChurchCRM versions 6.5.0 through 6.5.2, allowing attackers to execute JavaScript code.
You are affected if you are running ChurchCRM versions 6.5.0, 6.5.1, or 6.5.2. Upgrade to 6.5.3 to mitigate the risk.
Upgrade ChurchCRM to version 6.5.3 or later. Implement input validation and output encoding as an interim measure.
While no active exploitation has been confirmed, the XSS nature of the vulnerability suggests a high likelihood of exploitation if left unpatched.
Refer to the ChurchCRM security advisories on their official website or GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.