CVE-2026-39318

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0

Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, apresenta uma falha de injeção de SQL no arquivo GroupPropsFormRowOps.php. A entrada do usuário fornecida através do parâmetro Field é diretamente incorporada em consultas SQL sem sanitização suficiente. A função mysqli real escape string() não escapa caracteres de acento grave, potencialmente permitindo que invasores ignorem o contexto do identificador SQL e executem declarações SQL arbitrárias.

Recommendations Atualize para a versão 7.1.0 ou posterior.