PT-2024-21189 · Churchcrm · Churchcrm
0Xiapetus
+1
·
Publicado
2024-02-21
·
Atualizado
2024-02-22
·
CVE-2024-25896
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
ChurchCRM versão 5.5.0
Descrição
O problema diz respeito a uma vulnerabilidade de injeção SQL cega, especificamente baseada em tempo, que pode ser explorada por meio do parâmetro
EID no arquivo EventEditor.php. Isso permite um possível acesso não autorizado às informações do banco de dados.Recomendações
Para o ChurchCRM versão 5.5.0, considere restringir o acesso ao arquivo
EventEditor.php até que uma correção esteja disponível e evite usar o parâmetro EID nas solicitações POST afetadas para minimizar o risco de exploração.Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Churchcrm