nvd,anchore_overrides
Churchcrm
Уязвимости
123
Эксплуатируемые
0
Критический
21
Высокий
62
Топ продуктов
Топ уязвимостей
CVE-2026-42288ChurchCRM - это система управления церковью с открытым исходным кодом. До 7.3.2 исправление для CVE-2026-39337 является неполным. Устранение удаленного выполнения кода перед аутентичностью в мастере настройки ChurchCRM через несаниционированный DB_PASSWORD остается полностью эксплуатируемым Эта уязвимость исправлена в 7.3.2.
CVE-2026-39337ChurchCRM - это система управления церковью с открытым исходным кодом. До 7.1,0 критическая уязвимость удаленного выполнения кода перед аутентификацией в мастере настройки ChurchCRM позволяет неаутентичным злоумышленникам вводить произвольный код PHP во время первоначального процесса установки, что приводит к полному компрометации сервера. Переменная "$dbPassword" не дезинфицируется. Эта уязвимость существует из-за неполного исправления для CVE-2025-62521. Эта уязвимость исправлена в 7.1.0.
CVE-2025-62521ChurchCRM - это система управления церковью с открытым исходным кодом. До версии 5.21.0 уязвимость удаленного выполнения кода перед аутентификацией в мастере настройки ChurchCRM позволяет неаутентифицированным злоумышленникам вводить произвольный код PHP во время первоначального процесса установки, что приводит к полному компрометации сервера. Уязвимость существует в 'setup/routes/routes/setup.php`, где пользовательский ввод из формы настройки непосредственно конкатенирован в шаблон конфигурации PHP без какой-либо проверки или дезинфекции. Любой параметр в форме установки может быть использован для инъекции кода PHP, который записывается в `Include/Config.php`, который затем выполняется на каждой странице загрузки. Это более серьезно, чем типичные аутентифицированные уязвимости RCE, потому что это не требует учетных данных и влияет на процесс установки, который должны завершить администраторы. Версия 5.21.0 исправляет проблему.
CVE-2024-53438EventAttendance.php в ChurchCRM 5.7.0 уязвим для SQL-инъекций. Злоумышленник может использовать эту уязвимость, манипулируя параметром «Event», который напрямую интерполируется в SQL-запрос без надлежащей очистки или проверки, что позволяет злоумышленникам выполнять произвольные SQL-команды.
CVE-2024-25897ChurchCRM 5.5.0 FRCatalog.php уязвим для слепой SQL-инъекции (на основе времени) через параметр CurrentFundraiser GET.
CVE-2024-25894ChurchCRM 5.5.0 /EventEditor.php уязвим для слепой SQL-инъекции (на основе времени) через параметр EventCount POST.
CVE-2026-44547ChurchCRM - это система управления церковью с открытым исходным кодом. От 7.2.0 до 7.2.2 исправление для CVE-2026-4058 является неполным. Обязательное обязательство было объединено, а затем молча снято с src/api/routes/public/public/public-user.php несвязанным PR, прежде чем какой-либо тег 7.2.x был сокращен. Поэтому каждый отгруженный релиз 7.2x остается эксплуатируемым PoC, опубликованным с оригинальным консультированием. Эта уязвимость исправлена в пункте 7.3.1.
CVE-2026-39342ChurchCRM - это система управления церковью с открытым исходным кодом. До 7.1,0 параметр поиска, какой параметр через QueryView.php с QueryID=15 уязвим для инъекции SQL. Аутентифицированному пользователю требуется доступ к данным/отчетам > Меню запросов и доступ к запросу «Advanced Search». Эта уязвимость фиксируется в 7.1.0.
CVE-2025-68400ChurchCRM - это система управления церковью с открытым исходным кодом. Уязвимость SQL Injection существует в унаследованной конечной точке `/Reports/ConfirmReportEmail.php` в ChurchCRM до версии 6.5.3. Хотя функция была удалена из пользовательского интерфейса, файл остается развернутым и доступным непосредственно через URL. Это классический случай «мертвого, но достижимого кода». Любой аутентифицированный пользователь, в том числе с нулевыми назначенными разрешениями, может использовать SQL-интеграцию через параметр «familyId». Версия 6.5.3 устраняет проблему.
CVE-2025-67876ChurchCRM - это система управления церковью с открытым исходным кодом. Сохраняющаяся уязвимость кросс-сайтов (XSS) существует в версиях ChurchCRM 6.4.0 и до этого позволяет пользователю с низким привилегированным разрешением «Управление группами» вводить постоянный JavaScript в групповые имена ролей. Полезная нагрузка сохраняется в базе данных и выполняется всякий раз, когда любой пользователь (включая администраторов) просматривает страницу, которая отображает эту роль, например, GroupView.php или PersonView.php. Это позволяет полный захват сеанса и захват счета. На момент публикации не имеется известных исправленных версий.
CVE-2025-1135Уязвимость существует в ChurchCRM 5.13.0 и более ранних версиях, которая позволяет злоумышленнику выполнять произвольные SQL-запросы, эксплуатируя уязвимость SQL-инъекции на основе булевой логики и времени в функциональности BatchWinnerEntry. Параметр CurrentFundraiser напрямую конкатенируется в SQL-запрос без достаточной очистки, что позволяет злоумышленнику манипулировать запросами к базе данных и выполнять произвольные команды, что потенциально может привести к эксфильтрации, модификации или удалению данных. Обратите внимание, что для этой уязвимости требуются права администратора.
CVE-2025-1134Уязвимость существует в ChurchCRM 5.13.0 и более ранних версиях, которая позволяет атакующему выполнять произвольные SQL-запросы, используя уязвимость SQL-инъекции на основе булевой логики и по времени в функциональности DonatedItemEditor. Параметр CurrentFundraiser напрямую конкатенируется в SQL-запрос без достаточной санитарной обработки, что позволяет атакующему манипулировать запросами к базе данных и выполнять произвольные команды, что потенциально приводит к эксфильтрации, модификации или удалению данных. Обратите внимание, что эта уязвимость требует прав администратора.
CVE-2025-1133Уязвимость существует в ChurchCRM 5.13.0 и ранее, которая позволяет нападающему выполнять произвольные SQL-запросы, эксплуатируя уязвимость SQL-инъекции на основе булевой логики в функциональности EditEventAttendees. Параметр EID непосредственно конкатенируется в SQL-запрос без надлежащей санации, что делает его уязвимым для атак SQL-инъекции. Нападающий может манипулировать запросом, что может привести к эксфильтрации, модификации или удалению данных. Обратите внимание, что эта уязвимость требует прав администратора.
CVE-2025-1132Существует уязвимость невидимой инъекции SQL на основе времени в ChurchCRM 5.13.0 и более ранних версиях в EditEventAttendees.php в параметре EN_tyid. Параметр напрямую вставляется в SQL-запрос без надлежащей санации, что позволяет злоумышленникам внедрять вредоносные SQL-команды. Обратите внимание, что уязвимость требует прав администратора. Этот недостаток может потенциально позволить злоумышленникам задерживать ответ, указывая на наличие уязвимости SQL-инъекции. Хотя это инъекция на основе времени, ее можно использовать для получения информации о подлежащей базе данных, а при дальнейшей эксплуатации могут быть получены чувствительные данные.
CVE-2025-1023В ChurchCRM до версии 5.13.0 существует уязвимость, которая позволяет злоумышленнику выполнять произвольные SQL-запросы, эксплуатируя уязвимость слепой SQL-инъекции на основе времени в функциональности EditEventTypes. Параметр newCountName напрямую добавляется в SQL-запрос без надлежащей санитации, что позволяет злоумышленнику манипулировать запросами к базе данных и выполнять произвольные команды, что потенциально может привести к эксфильтрации, изменению или удалению данных.
CVE-2025-68275ChurchCRM - это система управления церковью с открытым исходным кодом. Версии до 6.5.3 имеют сохраненную уязвимость сценариев на страницах «Просмотреть активных людей», «Просмотреть неактивных людей» и «Просмотреть всех людей». Версия 6.5.3 устраняет проблему.
CVE-2026-40582ChurchCRM - это система управления церковью с открытым исходным кодом. В версиях до 7.2.0 конечная точка /api/public/user/login проверяет только имя пользователя и пароль перед возвратом ключа API пользователя, минуя обычный поток аутентификации, который обеспечивает локаут учетной записи и двухфакторные проверки аутентификации. Злоумышленник, знающее пароль пользователя, может получить доступ к API даже тогда, когда учетная запись заблокирована или включена 2FA, предоставляя прямой доступ к всем защищенным конечным точкам API с привилегиями этого пользователя. Эта проблема исправлена в версии 7.2.0. Примечание: у этого вопроса был дубликат, GHSA-472m-p3gf-46xp, который был закрыт.
CVE-2026-40484ChurchCRM - это система управления церковью с открытым исходным кодом. В версиях до 7.2.0, функция восстановления резервной копии базы данных извлекает загруженное содержимое архива и копирует файлы из каталога Изображения/каталог в веб-доступный для веб-корня документ с использованием resquireveCopyDirectory(), который не выполняет фильтрацию расширений файлов. Аутентифицированный администратор может загрузить созданный архив резервного копирования, содержащий веб-скорлупу PHP, внутри каталога Изображений /, который затем записывается на общедоступный путь и исполняется через HTTP-запросы, что приводит к удаленному исполнению кода в качестве пользователя веб-сервера. К конечной точке восстановления также отсутствует валидация токенов CSRF, что позволяет эксплуатировать с помощью подделки запроса через сайт, нацеленного на аутентифицированного администратора. Эта проблема исправлена в версии 7.2.0.
CVE-2026-39339ChurchCRM - это система управления церковью с открытым исходным кодом. До 7.1.0 критическая уязвимость обхода аутентификации в промежуточной программной системе API ChurchCRM (ChurchCRM/Slim/Middleware/AuthMiddleware.php) позволяет неаутентифицированным злоумышленникам получать доступ к всем защищенным конечным точкам API, включая «api/public» в любом месте URL-адрес запроса, что приводит к полному раскрытию данных членов церкви и системной информации. Эта уязвимость фиксируется в разделе 7.1.0.
CVE-2026-35573ChurchCRM - это система управления церковью с открытым исходным кодом. До 6.5.3 уязвимость прохождения пути в функции восстановления резервной копии ChurchCRM позволяет аутентифицированным администраторам загружать произвольные файлы и достигать удаленного выполнения кода, перезаписи файлов конфигурации Apache .htaccess. Уязвимость существует в src/ChurchCRM/Backup/RestoreJob.php. Параметр $rawUploadedFile['name'] контролируется пользователем и позволяет загружать файлы с произвольными именами в /var/www/html/tmp_attach/ChurchCRMBackups/. Эта уязвимость зафиксирована в пункте 6.5.3.
CVE-2024-25893ChurchCRM 5.5.0 FRCertificates.php уязвим для слепой SQL-инъекции (на основе времени) через параметр CurrentFundraiser GET.
CVE-2026-39328ChurchCRM - это система управления церковью с открытым исходным кодом. До 7.1.0 сохраняется уязвимость кросс-сайта в функции редактирования профиля ChurchCRM. Неадминистративные пользователи, у которых есть разрешение EditSelf, могут вводить вредоносный JavaScript в свои поля профилей Facebook, LinkedIn и X. Из-за 50-символьного лимита поля, полезная нагрузка распределена по всем трем полям и цепляет их обработчиков событий на темуфокусирования для выполнения последовательно. Когда любой пользователь, включая администраторов, просматривает профиль злоумышленника, его сеансовые файлы cookie эксфильтрируются на удаленный сервер. Эта уязвимость фиксируется в разделе 7.1.0.
CVE-2026-42289ChurchCRM - это система управления церковью с открытым исходным кодом. До 7.3.2, UserEditor.php обрабатывает создание учетных данных пользователей и обновляет разрешение полностью через параметры $_POST без проверки токенов CSRF. Неаутентифицированный злоумышленник может создать вредоносную HTML-страницу, которая при посещении аутентифицированным администратором молчаливо повышает любого пользователя с низкой привилегией до полного администратора или создает новую учетную запись admin без ведома жертвы Эта уязвимость исправлена в 7.3.2.
CVE-2026-39334ChurchCRM - это система управления церковью с открытым исходным кодом. До 7.1.0 в конце /SettingsIndividual.php была обнаружена уязвимость инъекций SQL в ChurchCRM 7.0.5. Аутентифицированные пользователи без каких-либо конкретных привилегий могут вводить произвольные SQL-указатели через параметр массива типов через индекс и, таким образом, извлекать и изменять информацию из базы данных. Эта уязвимость зафиксирована в разделе 7.1.0.
CVE-2026-39330ChurchCRM - это система управления церковью с открытым исходным кодом. До 7.1.0 в конечной точке /PropertyAssign.php была обнаружена уязвимость инъекций SQL в ChurchCRM. Аутентифицированные пользователи с ролью Manage Groups & Roles (ManageGroups) и Edit Records (isEditRecordsEnabled) могут вводить произвольные SQL-указатели через параметр Value и таким образом извлекать и изменять информацию из базы данных. Эта уязвимость зафиксирована в разделе 7.1.0.