Adrianjunge

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM é um sistema de gerenciamento de igrejas de código aberto. Uma falha de injeção de SQL existe no endpoint `/SettingsUser.php` em versões anteriores a 7.1.0. Usuários administrativos autenticados podem injetar declarações SQL arbitrárias através do parâmetro array `type` via `index` e potencialmente extrair ou modificar informações do banco de dados. Recommendations Atualize para a versão 7.1.0 ou posterior.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, contém uma falha de injeção SQL no endpoint `/PropertyTypeEditor.php`. Usuários autenticados com a função `isMenuOptionsEnabled` podem injetar declarações SQL através dos parâmetros `Name` e `Description`, permitindo potencialmente extrair e modificar informações do banco de dados. Recommendations Atualize para a versão 7.1.0 ou posterior.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM está suscetível a um problema de injeção SQL de segunda ordem no endpoint `/FundRaiserEditor.php`. Um usuário autenticado, sem privilégios específicos, pode injetar declarações SQL arbitrárias através do parâmetro de sessão PHP `iCurrentFundraiser`, permitindo potencialmente extrair e modificar informações do banco de dados. Recommendations Atualize para a versão 7.1.0 ou posterior.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, contém uma falha de injeção SQL no endpoint `/MemberRoleChange.php`. Usuários autenticados com a função 'Manage Groups & Roles' podem injetar declarações SQL através do parâmetro `NewRole`, potencialmente permitindo que eles extraiam e modifiquem informações do banco de dados. Recommendations Atualize para a versão 7.1.0 ou posterior.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, contém uma falha de injeção de SQL no arquivo `/EventNames.php`. Usuários autenticados com privilégios AddEvent podem injetar SQL através do parâmetro `newEvtTypeCntLst` ao criar tipos de eventos. A vulnerabilidade ocorre dentro de uma cláusula ON DUPLICATE KEY UPDATE onde a entrada fornecida pelo usuário é incluída diretamente sem a devida sanitização. Recommendations Atualize para a versão 7.1.0 ou posterior.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, contém uma falha de injeção de SQL no endpoint `/PropertyAssign.php`. Usuários autenticados com permissões Manage Groups & Roles (ManageGroups) e Edit Records (isEditRecordsEnabled) podem injetar declarações SQL arbitrárias através do parâmetro `Value`, potencialmente permitindo que eles extraiam e modifiquem informações do banco de dados. Recommendations Atualize para a versão 7.1.0 ou posterior.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM é um sistema de gerenciamento de igrejas de código aberto. Antes da versão 7.1.0, uma vulnerabilidade de injeção SQL existe no endpoint `/SettingsIndividual.php`. Usuários autenticados podem injetar declarações SQL arbitrárias através do parâmetro de array `type` via o `index` e extrair ou modificar informações do banco de dados. Recommendations Atualize para a versão 7.1.0 ou posterior.