CVE-2026-39329

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0

Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, contém uma falha de injeção de SQL no arquivo /EventNames.php. Usuários autenticados com privilégios AddEvent podem injetar SQL através do parâmetro newEvtTypeCntLst ao criar tipos de eventos. A vulnerabilidade ocorre dentro de uma cláusula ON DUPLICATE KEY UPDATE onde a entrada fornecida pelo usuário é incluída diretamente sem a devida sanitização.

Recommendations Atualize para a versão 7.1.0 ou posterior.