Plataforma
php
Componente
churchcrm
Corrigido em
7.1.1
A vulnerabilidade CVE-2026-39333 é uma falha de Cross-Site Scripting (XSS) refletida presente no ChurchCRM, um sistema de gerenciamento de igrejas de código aberto. Um atacante autenticado pode explorar essa falha injetando código JavaScript malicioso através dos parâmetros DateStart e DateEnd no endpoint FindFundRaiser.php, que é então refletido em atributos de campos de entrada HTML sem a devida codificação. A vulnerabilidade afeta versões do ChurchCRM anteriores à 7.1.0 e foi corrigida nesta versão.
Um atacante pode explorar essa vulnerabilidade para executar scripts maliciosos no navegador de outros usuários autenticados no ChurchCRM. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, ou a modificação da interface do usuário para enganar os usuários. O impacto potencial é significativo, pois um atacante pode comprometer a confidencialidade e a integridade dos dados do sistema e dos usuários. A exploração bem-sucedida pode permitir o acesso não autorizado a informações sensíveis, como dados de membros da igreja, informações financeiras e histórico de doações.
A vulnerabilidade foi divulgada em 2026-04-07. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A ausência de um Proof of Concept (PoC) publicamente disponível pode indicar um risco menor, mas a severidade da vulnerabilidade (CVSS 8.7) justifica a aplicação imediata das medidas de mitigação.
Organizations and individuals using ChurchCRM versions 0.0.0 through 7.0, particularly those with limited security expertise or those who do not regularly update their software, are at significant risk. Shared hosting environments where multiple ChurchCRM instances reside are also at increased risk, as a compromise of one instance could potentially impact others.
• php: Examine ChurchCRM logs for unusual activity related to the FindFundRaiser.php endpoint, specifically looking for requests containing suspicious characters in the DateStart and DateEnd parameters.
• generic web: Use curl to test the FindFundRaiser.php endpoint with various payloads in the DateStart and DateEnd parameters. Example:
curl 'http://churchcrm/FindFundRaiser.php?DateStart=<script>alert("XSS")</script>&DateEnd=2024-12-31'• generic web: Review access logs for requests to FindFundRaiser.php containing unusual characters or patterns in the DateStart and DateEnd parameters. Look for patterns indicative of XSS attempts.
disclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o ChurchCRM para a versão 7.1.0 ou superior, que inclui a correção. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação e sanitização rigorosas de todas as entradas de usuário no endpoint FindFundRaiser.php. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns também pode ajudar a reduzir o risco. Monitore os logs do servidor em busca de atividades suspeitas, como solicitações com parâmetros DateStart e DateEnd incomuns.
Actualice ChurchCRM a la versión 7.1.0 o posterior para mitigar la vulnerabilidad de XSS. Esta versión corrige el problema de codificación de salida en los parámetros DateStart y DateEnd del endpoint FindFundRaiser.php, evitando la ejecución de código JavaScript malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39333 is a reflected XSS vulnerability in ChurchCRM versions 0.0.0 through 7.0, allowing attackers to inject JavaScript via the DateStart and DateEnd parameters in FindFundRaiser.php.
You are affected if you are using ChurchCRM versions 0.0.0 through 7.0. Upgrade to version 7.1.0 or later to mitigate the risk.
Upgrade ChurchCRM to version 7.1.0 or later. As a temporary workaround, implement a WAF rule to filter suspicious requests to FindFundRaiser.php.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants prompt remediation.
Refer to the ChurchCRM website and security advisories for the latest information and updates regarding CVE-2026-39333.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.