M4Nu02

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, contém uma vulnerabilidade de Cross-Site Scripting (XSS) refletida no arquivo GeoPage.php. Um usuário autenticado pode injetar JavaScript arbitrário no navegador de outro usuário autenticado. A carga útil é executada automaticamente devido ao foco automático, não exigindo interação do usuário. Isso permite que um invasor roube cookies de sessão e potencialmente assuma o controle de contas de usuário, incluindo contas de administrador, enganando uma vítima para enviar um formulário criado. Recommendations Atualize para a versão 7.1.0 ou posterior.