CVE-2026-39328

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0

Description Existe um problema de scripting entre sites armazenado na funcionalidade de edição de perfil de pessoas do ChurchCRM. Usuários com permissão EditSelf podem injetar JavaScript malicioso nos campos de perfil do Facebook, LinkedIn e X. A carga útil é distribuída entre esses campos e encadeia seus manipuladores de eventos onfocus para serem executados em sequência. Quando um usuário visualiza o perfil do invasor, seus cookies de sessão são enviados para um servidor remoto.

Recommendations Atualize para a versão 7.1.0 ou posterior.