CVE-2025-66395

Nome do Software Vulnerável e Versões Afetadas Versões do ChurchCRM anteriores à 6.5.3

Descrição O ChurchCRM é um sistema de gerenciamento de igrejas de código aberto. Existe uma vulnerabilidade de injeção de SQL no arquivo src/ListEvents.php. O parâmetro POST WhichType não é devidamente sanitizado antes de ser utilizado em consultas SQL. Isso permite que um usuário autenticado execute comandos SQL arbitrários, potencialmente levando à exfiltração, modificação ou exclusão de dados, incluindo credenciais de usuário e informações financeiras. Qualquer usuário autenticado, independentemente do seu nível de privilégio, pode executar consultas arbitrárias no banco de dados.

Recomendações Atualize para a versão 6.5.3 ou posterior.