CVE-2025-67876

Nome do Software Vulnerável e Versões Afetadas ChurchCRM versões 6.4.0 e anteriores

Descrição O ChurchCRM é um sistema de gerenciamento de igrejas de código aberto afetado por uma vulnerabilidade de cross-site scripting (XSS) armazenado. Um usuário com a permissão "Gerenciar Grupos" pode injetar JavaScript persistente nos nomes de funções do grupo. Este código malicioso é armazenado no banco de dados e executado quando qualquer usuário visualiza páginas que exibem essa função, como GroupView.php ou PersonView.php. Isso pode levar ao sequestro completo de sessão e tomada de conta. A vulnerabilidade impacta a exibição de funções de grupo, afetando potencialmente qualquer página que renderize essas informações.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.