CVE-2025-1132

Nome do Software Vulnerável e Versões Afetadas Versões 5.13.0 e anteriores do ChurchCRM

Descrição Existe uma vulnerabilidade de Injeção de SQL Cega Baseada em Tempo no arquivo EditEventAttendees.php dentro do parâmetro EN tyid. O parâmetro é inserido diretamente em uma consulta SQL sem a devida sanitização, permitindo que atacantes injetem comandos SQL maliciosos. Esta falha pode potencialmente permitir que atacantes atrasem a resposta, indicando a presença de uma vulnerabilidade de injeção de SQL. Embora seja uma injeção cega baseada em tempo, ela pode ser explorada para obter informações sobre o banco de dados subjacente e, com exploração adicional, dados sensíveis poderão ser recuperados. A vulnerabilidade requer permissões de Administrador.

Recomendações Para as versões 5.13.0 e anteriores do ChurchCRM, como uma solução temporária, considere restringir o acesso ao arquivo EditEventAttendees.php e ao parâmetro EN tyid para minimizar o risco de exploração. Evite usar o parâmetro EN tyid no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.