MEDIUMCVE-2025-1024

通过反射型跨站脚本 (XSS) 在 ChurchCRM EditEventAttendees.php EID 参数中劫持会话

平台

php

组件

crm

修复版本

5.13.1

AI Confidence: highNVDEPSS 0.2%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-1024 是 ChurchCRM 5.13.0 及更早版本中发现的跨站脚本攻击 (XSS) 漏洞。该漏洞允许攻击者通过 EditEventAttendees.php 页面中的 EID 参数执行恶意 JavaScript 代码，对用户造成严重威胁。受影响的版本包括 ChurchCRM 5.13.0 及更早版本。建议尽快升级至 5.13.1 版本以消除此风险。

影响与攻击场景

该 XSS 漏洞的潜在影响非常严重。攻击者可以利用此漏洞窃取用户的会话 Cookie，从而冒充用户执行各种操作，例如修改用户信息、访问敏感数据，甚至完全控制 ChurchCRM 应用程序。此外，攻击者还可以利用此漏洞在受害者的浏览器中执行任意 JavaScript 代码，从而进行恶意重定向、信息窃取或其他恶意活动。由于该漏洞需要管理员权限，攻击者可能需要先获取管理员账户才能利用此漏洞，但一旦成功，其影响范围将非常广泛。

利用背景

该漏洞已于 2025 年 2 月 19 日公开披露。目前尚无公开的漏洞利用程序 (POC)，但由于 XSS 漏洞的普遍性，预计未来可能会出现。该漏洞的风险等级取决于 ChurchCRM 的部署环境和安全措施。建议密切关注安全社区的动态，并及时采取必要的安全措施。

哪些人处于风险中翻译中…

Organizations utilizing ChurchCRM, particularly those with administrative users who may be targeted by social engineering attacks, are at risk. Shared hosting environments where multiple ChurchCRM instances reside on the same server could potentially expose multiple organizations to this vulnerability if one instance is compromised.

检测步骤翻译中…

• php: Examine access logs for suspicious requests to EditEventAttendees.php containing unusual characters or JavaScript code in the EID parameter. Look for patterns like <script> or javascript:.

grep -i 'script|javascript' /var/log/apache2/access.log | grep EditEventAttendees.php

• generic web: Use curl to test the EditEventAttendees.php endpoint with a simple XSS payload (e.g., <script>alert('XSS')</script>) in the EID parameter and observe the response for signs of script execution.

curl 'http://your-churchcrm-instance/EditEventAttendees.php?EID=<script>alert("XSS")</script>' -s

攻击时间线

2025-02-19Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

EPSS

0.16% (37% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

受影响的软件

组件crm

供应商ChurchCRM

影响范围修复版本

ChurchCRM 5.13.0 and prior – ChurchCRM 5.13.0 and prior5.13.1

弱点分类 (CWE)

CWE-287

时间线

已保留2025-02-04
发布日期2025-02-19
EPSS 更新日期2026-04-02

缓解措施和替代方案

最有效的缓解措施是立即升级 ChurchCRM 至 5.13.1 或更高版本。如果升级过程存在问题，可以考虑回滚到之前的稳定版本，但请注意这只是临时解决方案。此外，可以实施 Web 应用防火墙 (WAF) 或代理服务器规则，以过滤可疑的输入，并阻止包含恶意 JavaScript 代码的请求。建议对 EditEventAttendees.php 页面进行严格的输入验证和输出编码，以防止 XSS 攻击。

修复方法翻译中…

Actualice ChurchCRM a una versión posterior a la 5.13.0 para corregir la vulnerabilidad XSS. Esto evitará que atacantes ejecuten scripts maliciosos en el navegador de los usuarios y roben sus sesiones. Consulte el registro de cambios de ChurchCRM para obtener detalles sobre la versión corregida.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-1024 — XSS 漏洞在 ChurchCRM 中？

CVE-2025-1024 是 ChurchCRM 5.13.0 及更早版本中发现的跨站脚本攻击 (XSS) 漏洞，攻击者可以通过 EditEventAttendees.php 页面中的 EID 参数执行恶意 JavaScript 代码。

我是否受到 CVE-2025-1024 在 ChurchCRM 中的影响？

如果您正在使用 ChurchCRM 5.13.0 或更早版本，则您可能受到此漏洞的影响。请立即升级至 5.13.1 或更高版本。

如何修复 CVE-2025-1024 在 ChurchCRM 中的问题？

最有效的修复方法是升级 ChurchCRM 至 5.13.1 或更高版本。如果升级存在问题，可以考虑回滚到之前的稳定版本，并实施 WAF 规则。

CVE-2025-1024 是否正在被积极利用？

目前尚无公开的漏洞利用程序，但由于 XSS 漏洞的普遍性，预计未来可能会出现。建议密切关注安全动态。

在哪里可以找到 ChurchCRM 官方关于 CVE-2025-1024 的公告？

请访问 ChurchCRM 的官方网站或安全公告页面，以获取有关 CVE-2025-1024 的最新信息和修复指南。