CVE-2025-67875

Nome do Software Vulnerável e Versões Afetadas Versões do ChurchCRM anteriores à 6.5.3

Descrição O ChurchCRM é um sistema de gerenciamento de igrejas de código aberto. Existe uma falha na qual um usuário autenticado com permissões específicas ("Edit Records" e "Manage Properties and Classifications") pode injetar um payload persistente de Cross-Site Scripting (XSS) no perfil de um administrador. Este payload é executado quando um administrador visualiza seu perfil, potencialmente permitindo que um atacante sequestre a sessão do administrador e execute ações administrativas, levando à tomada completa da conta. O problema é resultado de uma Referência Direta a Objeto Inseguro (IDOR) que permite a visualização não autorizada de perfis, combinada com uma vulnerabilidade de Controle de Acesso Quebrado que permite a modificação de propriedades de registros de usuários.

Recomendações Versões anteriores à 6.5.3 devem ser atualizadas para a versão 6.5.3 ou posterior.