CVE-2025-1133

Nome do Software Vulnerável e Versões Afetadas Versões do ChurchCRM 5.13.0 e anteriores

Descrição Existe uma vulnerabilidade de Injeção de SQL cega baseada em booleanos na funcionalidade EditEventAttendees, permitindo que um atacante execute consultas SQL arbitrárias. O parâmetro EID é concatenado diretamente em uma consulta SQL sem a sanitização adequada, tornando-o suscetível a ataques de injeção de SQL. Um atacante pode manipular a consulta, potencialmente levando à exfiltração, modificação ou exclusão de dados. Este problema requer privilégios de Administrador.

Recomendações Para as versões 5.13.0 e anteriores do ChurchCRM, como medida temporária, considere desativar a funcionalidade EditEventAttendees até que um patch esteja disponível. Restrinja o acesso ao parâmetro EID para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.