CVE-2026-40480

Name of the Vulnerable Software and Affected Versions ChurchCRM versões anteriores a 7.2.0

Description Existe um problema na camada de API onde o endpoint 'GET /api/person/{personId}' retorna registros de pessoas sem realizar verificações de autorização em nível de objeto. Embora a página legada PersonView.php aplique restrições por meio da função canEditPerson(), a API omite essa verificação. Isso permite que qualquer usuário autenticado com privilégios EditSelf enumere e leia registros de outros membros, levando à exposição de informações de identificação pessoal (PII) sensíveis, como nomes, endereços, números de telefone e endereços de e-mail.

Recommendations Atualizar para a versão 7.2.0.