Plataforma
php
Componente
churchcrm
Corrigido em
6.5.4
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no ChurchCRM, um sistema de gerenciamento de igrejas de código aberto. Essa falha, presente nas versões 6.5.0 até 6.5.2, permite que usuários autenticados com permissão para adicionar notas executem código JavaScript arbitrário no navegador de outros usuários, incluindo administradores. A atualização para a versão 6.5.3 corrige essa vulnerabilidade.
A exploração bem-sucedida desta vulnerabilidade XSS pode ter consequências graves para a segurança do ChurchCRM e dos dados da igreja. Um atacante pode injetar scripts maliciosos através do editor de notas, que serão executados sempre que um usuário, especialmente um administrador, visualizar a nota. Isso pode levar ao roubo de cookies de sessão, permitindo que o atacante se passe pelo usuário e obtenha acesso não autorizado a informações confidenciais, como dados de membros da igreja, informações financeiras e registros de doações. A capacidade de escalar privilégios para o nível de administrador aumenta significativamente o impacto potencial, permitindo que o atacante comprometa todo o sistema.
A vulnerabilidade foi divulgada em 7 de abril de 2026. Não há informações disponíveis sobre exploração ativa ou presença na KEV (CISA Known Exploited Vulnerabilities) até o momento. A ausência de um Proof of Concept (PoC) público torna a exploração mais difícil, mas a gravidade da vulnerabilidade exige atenção imediata.
Churches and religious organizations utilizing ChurchCRM versions 6.5.0 through 6.5.2 are at direct risk. Organizations with shared hosting environments or those that have granted broad note-adding permissions to multiple users are particularly vulnerable, as the attack surface is increased.
• php: Examine ChurchCRM logs for suspicious JavaScript code being injected into notes. Search for unusual characters or patterns commonly associated with XSS payloads.
grep -i 'alert\(' /var/log/churchcrm/error.log• generic web: Monitor access logs for requests containing suspicious URL parameters or POST data that could be indicative of XSS attempts.
grep -i '<script' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 6.5.3 do ChurchCRM. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação e sanitização rigorosas de todas as entradas de usuário no editor de notas. Implementar uma Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns pode fornecer uma camada adicional de proteção. Monitore os logs do servidor em busca de atividades suspeitas, como solicitações incomuns ou tentativas de injeção de script.
Actualice ChurchCRM a la versión 6.5.3 o posterior para mitigar la vulnerabilidad de XSS. Asegúrese de realizar una copia de seguridad de su base de datos antes de actualizar. Revise los registros de auditoría para detectar cualquier actividad sospechosa después de la actualización.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-35574 is a stored Cross-Site Scripting (XSS) vulnerability in ChurchCRM versions 6.5.0 through 6.5.2, allowing attackers to execute JavaScript code.
You are affected if you are running ChurchCRM versions 6.5.0, 6.5.1, or 6.5.2. Upgrade to 6.5.3 to mitigate the risk.
Upgrade ChurchCRM to version 6.5.3 or later. Implement input validation and output encoding as an interim measure.
While no active exploitation has been confirmed, the XSS nature of the vulnerability suggests a high likelihood of exploitation if left unpatched.
Refer to the ChurchCRM security advisories on their official website or GitHub repository for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.