PT-2024-21191 · Churchcrm · Churchcrm
Georgios Bitounis
·
Publicado
2024-02-21
·
Atualizado
2025-03-28
·
CVE-2024-25898
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
ChurchCRM versão 5.5.0
Descrição
Foi detectada uma vulnerabilidade XSS na funcionalidade de edição de eventos, na qual código JS ou HTML malicioso pode ser inserido no campo
Event Sermon no arquivo EventEditor.php. Isso permite a possível execução de código malicioso.Recomendações
Para a versão 5.5.0 do ChurchCRM, considere desativar a edição de eventos ou restringir o acesso ao arquivo
EventEditor.php até que uma correção esteja disponível. Evite inserir dados não confiáveis no campo Event Sermon para minimizar o risco de exploração.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Churchcrm