CVE-2026-39340

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.1.0

Description ChurchCRM, um sistema de gerenciamento de igrejas de código aberto, contém uma falha de injeção de SQL no arquivo PropertyTypeEditor.php, que faz parte da funcionalidade de administração para gerenciar categorias de tipo de propriedade (Pessoas → Propriedades da Pessoa / Propriedades da Família). A falha surge da substituição da função legacyFilterInput(), que remove HTML e escapa SQL, por sanitizeText(), que remove apenas HTML. Isso permite que usuários autenticados com a função MenuOptions executem injeção cega baseada em tempo e potencialmente acessem todos os dados dentro do banco de dados, incluindo hashes de senha.

Recommendations Atualize para a versão 7.1.0 ou posterior.