CVE-2026-35566

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0

Description Existe uma falha crítica de injeção SQL no ChurchCRM em versões anteriores a 7.1.0. A vulnerabilidade está localizada em src/Reports/FundRaiserStatement.php, onde o valor $ SESSION['iCurrentFundraiser'] é usado em um contexto SQL numérico não citado sem validação de inteiro adequada. Este valor se origina de src/FundRaiserEditor.php, onde InputUtils::legacyFilterInputArr() é chamado sem especificar o tipo 'int'. Isso permite a potencial manipulação de consultas SQL.

Recommendations Atualize para a versão 7.1.0 ou posterior.