CVE-2026-39331

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0

Description Um usuário da API autenticado pode modificar o estado de qualquer registro familiar sem a devida autorização, alterando o parâmetro familyId nas solicitações, independentemente de possuir o privilégio EditRecords necessário. Os seguintes endpoints da API não possuem controle de acesso baseado em função: '/family/{familyId}/verify', '/family/{familyId}/verify/url', '/family/{familyId}/verify/now', '/family/{familyId}/activate/{status}' e '/family/{familyId}/geocode. Isso permite que os usuários desativem ou reativem famílias arbitrárias, enviem e-mails de verificação de spam e marquem famílias como verificadas, acionando a geocodificação.

Recommendations Atualize para a versão 7.1.0 ou posterior.