CVE-2026-39323

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0

Description Existe uma falha crítica de injeção SQL no PropertyTypeEditor.php do ChurchCRM. Os parâmetros POST Name e Description são sanitizados de forma insuficiente usando apenas a função strip tags() antes de serem diretamente incorporados em consultas SQL. Isso permite que usuários autenticados com permissão 'Manage Properties' executem comandos SQL arbitrários, potencialmente levando à exfiltração, modificação e exclusão de dados. Os dados injetados persistem no banco de dados e são refletidos em várias páginas do aplicativo sem codificação de saída.

Recommendations Atualize para a versão 7.1.0 ou posterior.