Hackinkraken

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, possui um problema de Cross-Site Scripting Refletido Cego no parâmetro `search` do painel. A aplicação não sanitiza ou codifica adequadamente a entrada do usuário antes de renderizá-la no Document Object Model (DOM) do navegador. Mesmo que a aplicação retorne um erro HTTP 500 devido à solicitação de API malformada causada pela carga útil, o mecanismo JavaScript do navegador analisa e executa as tags <script> injetadas antes que a resposta de erro seja retornada, levando à execução bem-sucedida do código, apesar do erro no servidor. Recommendations Atualize para a versão 7.1.0 ou posterior.