CVE-2025-1023

Nome do Software Vulnerável e Versões Afetadas ChurchCRM versões 5.13.0 e anteriores

Descrição Existe uma vulnerabilidade de Injeção de SQL cega baseada em tempo na funcionalidade EditEventTypes, permitindo que um atacante execute consultas SQL arbitrárias. O parâmetro newCountName é diretamente concatenado em uma consulta SQL sem sanitização adequada, permitindo que um atacante manipule consultas do banco de dados e execute comandos arbitrários. Isso poderia potencialmente levar à exfiltração, modificação ou exclusão de dados.

Recomendações Para as versões do ChurchCRM 5.13.0 e anteriores, como solução temporária, considere desabilitar a funcionalidade EditEventTypes até que uma correção esteja disponível. Restrinja o acesso ao parâmetro newCountName na funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.