CVE-2025-68400

Nome do Software Vulnerável e Versões Afetadas Versões do ChurchCRM anteriores à 6.5.3

Descrição O ChurchCRM é um sistema de gerenciamento de igrejas de código aberto com uma vulnerabilidade de Injeção de SQL presente em um endpoint legado. A vulnerabilidade existe no endpoint /Reports/ConfirmReportEmail.php e é explorável através do parâmetro familyId. Qualquer usuário autenticado, mesmo com permissões limitadas, pode acionar a Injeção de SQL. O código vulnerável, embora removido da interface do usuário, permanece acessível diretamente via URL, representando um caso de 'código morto, mas alcançável'.

Recomendações Atualize para a versão 6.5.3 ou posterior.