PT-2024-21185 · Churchcrm · Churchcrm
Georgios Bitounis
·
Publicado
2024-02-21
·
Atualizado
2025-03-17
·
CVE-2024-25892
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
ChurchCRM versão 5.5.0
Descrição
O problema diz respeito a uma vulnerabilidade de injeção SQL cega, especificamente um ataque baseado em tempo, que pode ser explorada por meio do parâmetro GET
familyId no arquivo ConfirmReport.php. Isso permite que um invasor possa extrair ou manipular dados confidenciais do banco de dados.Recomendações
Para o ChurchCRM versão 5.5.0, considere restringir o acesso ao arquivo ConfirmReport.php ou desativar o uso do parâmetro GET
familyId até que uma correção esteja disponível. Evite usar o parâmetro familyId no endpoint afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Churchcrm