Plataforma
php
Componente
churchcrm
Corrigido em
7.1.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no ChurchCRM, um sistema de gerenciamento de igrejas de código aberto. Essa falha, presente em versões anteriores a 7.1.0, permite que um atacante injete código JavaScript malicioso. A exploração bem-sucedida pode comprometer a segurança do sistema e afetar usuários, incluindo administradores, ao visualizar perfis de usuários com payloads maliciosos.
A vulnerabilidade XSS armazenada no ChurchCRM permite que um atacante injete scripts maliciosos no site. Um usuário autenticado com o papel de 'EditRecords' pode inserir um payload no campo Facebook de um perfil de usuário. Quando outro usuário, incluindo administradores, visualiza esse perfil, o script injetado é executado no navegador, permitindo que o atacante roube cookies, redirecione o usuário para sites maliciosos ou execute outras ações maliciosas em nome do usuário. O impacto pode ser significativo, comprometendo a confidencialidade e integridade dos dados do usuário e do sistema.
A vulnerabilidade foi divulgada em 7 de abril de 2026. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV. A probabilidade de exploração é considerada baixa a média, dependendo da prevalência do ChurchCRM e da conscientização sobre a vulnerabilidade. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa do risco.
Churches and organizations using ChurchCRM versions 0.0.0 through 7.0 are at risk. This includes smaller churches relying on open-source solutions and organizations with limited security resources. Shared hosting environments where multiple ChurchCRM instances reside on the same server are particularly vulnerable, as a compromise of one instance could potentially impact others.
• php: Examine ChurchCRM's PersonView.php file for instances of sanitizeText() being used to sanitize HTML attributes. Search for suspicious JavaScript code within the Facebook field data.
• generic web: Monitor access logs for requests to PersonView.php with unusual parameters or POST data. Look for patterns indicative of XSS attempts.
• generic web: Use a WAF to detect and block XSS payloads targeting the Facebook field. Configure rules to identify and block requests containing suspicious JavaScript code.
• generic web: Review user profiles for unexpected or malicious content in the Facebook field.
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A correção primária para esta vulnerabilidade é atualizar o ChurchCRM para a versão 7.1.0 ou superior, que inclui a correção para a falha de XSS. Se a atualização imediata não for possível, implemente medidas de mitigação, como a validação e o escape rigorosos de todos os dados de entrada do usuário, especialmente o campo Facebook. Utilize uma Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns. Monitore os logs do servidor em busca de atividades suspeitas, como tentativas de injeção de script.
Actualice ChurchCRM a la versión 7.1.0 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige el problema al sanear correctamente los atributos HTML, evitando la inyección de JavaScript malicioso en el campo Facebook.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35534 is a stored cross-site scripting (XSS) vulnerability in ChurchCRM versions 0.0.0 through 7.0, allowing authenticated users to inject malicious JavaScript.
If you are using ChurchCRM version 7.0 or earlier, you are potentially affected by this vulnerability. Upgrade to version 7.1.0 or later to mitigate the risk.
The recommended fix is to upgrade ChurchCRM to version 7.1.0 or later. If an upgrade is not immediately possible, implement input validation and output encoding as a temporary workaround.
While no public exploits are currently known, the vulnerability's ease of exploitation suggests a potential risk of exploitation.
Refer to the official ChurchCRM website and security advisories for the latest information and updates regarding CVE-2026-35534.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.