Morris-Be

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.1 Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, contém uma falha de scripting entre sites armazenado (XSS) no controle de remoção de grupo e na funcionalidade de estado/país do editor de família. Isso afeta principalmente os usuários administrativos, permitindo o potencial abuso de campos de entidade graváveis. Recommendations Atualize para a versão 7.1.1 ou posterior.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description Existe um problema de scripting entre sites armazenado na funcionalidade de edição de perfil de pessoas do ChurchCRM. Usuários com permissão EditSelf podem injetar JavaScript malicioso nos campos de perfil do Facebook, LinkedIn e X. A carga útil é distribuída entre esses campos e encadeia seus manipuladores de eventos onfocus para serem executados em sequência. Quando um usuário visualiza o perfil do invasor, seus cookies de sessão são enviados para um servidor remoto. Recommendations Atualize para a versão 7.1.0 ou posterior.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description Um usuário da API autenticado pode modificar o estado de qualquer registro familiar sem a devida autorização, alterando o parâmetro `familyId` nas solicitações, independentemente de possuir o privilégio EditRecords necessário. Os seguintes endpoints da API não possuem controle de acesso baseado em função: '/family/{familyId}/verify', '/family/{familyId}/verify/url', '/family/{familyId}/verify/now', '/family/{familyId}/activate/{status}' e '/family/{familyId}/geocode. Isso permite que os usuários desativem ou reativem famílias arbitrárias, enviem e-mails de verificação de spam e marquem famílias como verificadas, acionando a geocodificação. Recommendations Atualize para a versão 7.1.0 ou posterior.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description ChurchCRM é um sistema de gerenciamento de igrejas de código aberto. O endpoint `FindFundRaiser.php` reflete a entrada fornecida pelo usuário (`DateStart` e `DateEnd`) em atributos de campo de entrada HTML sem a codificação de saída adequada. Um invasor autenticado pode criar uma URL maliciosa que executa JavaScript arbitrário quando visitada por outro usuário autenticado, resultando em um problema de XSS refletido. Recommendations Atualize para a versão 7.1.0.

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0 Description Um problema de scripting entre sites armazenado afeta os campos do formulário Directory Reports definidos a partir da configuração, os padrões do editor de Pessoas renderizados nos campos de endereço e os padrões de auto-registro externos. Este é principalmente um caminho XSS armazenado de administrador para administrador onde campos de configuração graváveis são abusados. Recommendations Atualize para a versão 7.1.0 ou posterior.