CVE-2026-35534

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0

Description ChurchCRM é um sistema de gerenciamento de igrejas de código aberto. Uma vulnerabilidade de scripting entre sites armazenado existe no arquivo PersonView.php devido ao uso incorreto de sanitizeText() como um sanitizador de saída para um contexto de atributo HTML. A função apenas remove tags HTML e não escapa caracteres de aspas, permitindo que um invasor escape do atributo href e injete manipuladores de eventos JavaScript arbitrários. Qualquer usuário autenticado com a função EditRecords pode armazenar o payload no campo Facebook de uma pessoa. O XSS é acionado contra qualquer usuário que visualize a página de perfil dessa pessoa, incluindo administradores, potencialmente permitindo o sequestro de sessão e a tomada de conta total.

Recommendations Atualize para a versão 7.1.0 ou posterior.