Loociprian

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, contém uma falha de scripting entre sites (XSS). A entrada fornecida através dos parâmetros `EName` e `EDesc` no arquivo EditEventAttendees.php pode ser renderizada sem a codificação adequada, permitindo a execução de código JavaScript arbitrário no navegador de uma vítima. Recommendations Atualize para a versão 7.1.0 ou posterior.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description A aplicação é suscetível a injeção SQL baseada em tempo devido à validação de entrada insuficiente. O endpoint `/Reports/ConfirmReportEmail.php?familyId=` não sanitiza corretamente a entrada do usuário ao construir consultas SQL. Recommendations Atualize para a versão 7.1.0 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões 6.0.18 e 5.1.25 do SeedDMS e anteriores **Descrição** A vulnerabilidade permite que um invasor com privilégios de administrador insira uma carga maliciosa no menu “Gerenciamento de funções” e, em seguida, acione essa carga ao carregar o menu “Gerenciamento de usuários”, resultando em um ataque XSS armazenado. **Recomendações** Para as versões 6.0.18 e anteriores, e 5.1.25 e anteriores do SeedDMS, considere desativar o acesso aos menus “Gerenciamento de funções” e “Gerenciamento de usuários” até que uma correção esteja disponível. Como solução alternativa temporária, restrinja o uso de privilégios de administrador para minimizar o risco de exploração.