PT-2026-30957 · Churchcrm · Churchcrm
Morris-Be
·
Publicado
2026-04-07
·
Atualizado
2026-04-07
·
CVE-2026-39333
CVSS v3.1
8.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N |
Name of the Vulnerable Software and Affected Versions
ChurchCRM versões anteriores a 7.1.0
Description
ChurchCRM é um sistema de gerenciamento de igrejas de código aberto. O endpoint
FindFundRaiser.php reflete a entrada fornecida pelo usuário (DateStart e DateEnd) em atributos de campo de entrada HTML sem a codificação de saída adequada. Um invasor autenticado pode criar uma URL maliciosa que executa JavaScript arbitrário quando visitada por outro usuário autenticado, resultando em um problema de XSS refletido.Recommendations
Atualize para a versão 7.1.0.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Churchcrm