CVE-2025-1134

Nome do Software Vulnerável e Versões Afetadas Versões do ChurchCRM 5.13.0 e anteriores

Descrição Existe uma vulnerabilidade de Injeção de SQL cega baseada em booleanos e baseada em tempo na funcionalidade DonatedItemEditor, permitindo que um atacante execute consultas SQL arbitrárias. O parâmetro CurrentFundraiser é concatenado diretamente em uma consulta SQL sem sanitização suficiente, permitindo que um atacante manipule consultas de banco de dados e execute comandos arbitrários, potencialmente levando à exfiltração, modificação ou exclusão de dados. Este problema requer privilégios de Administrador.

Recomendações Para as versões 5.13.0 e anteriores do ChurchCRM, considere desativar a funcionalidade DonatedItemEditor até que uma correção esteja disponível para prevenir a exploração da vulnerabilidade de Injeção de SQL. Restrinja o acesso ao parâmetro CurrentFundraiser para minimizar o risco de manipulação de consultas de banco de dados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.