CVE-2025-1135

Nome do Software Vulnerável e Versões Afetadas Versões do ChurchCRM 5.13.0 e anteriores

Descrição Uma vulnerabilidade de Injeção de SQL cega baseada em booleanos e baseada em tempo existe na funcionalidade BatchWinnerEntry, permitindo que um atacante execute consultas SQL arbitrárias. O parâmetro CurrentFundraiser é diretamente concatenado em uma consulta SQL sem sanitização suficiente, permitindo que um atacante manipule consultas ao banco de dados e execute comandos arbitrários, potencialmente levando à exfiltração, modificação ou exclusão de dados. Este problema requer privilégios de Administrador.

Recomendações Para as versões do ChurchCRM 5.13.0 e anteriores, como solução temporária, considere desativar a funcionalidade BatchWinnerEntry até que uma correção esteja disponível. Restrinja o acesso ao parâmetro CurrentFundraiser para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.