PT-2026-57859 · Churchcrm · Churchcrm

Publicado

2026-07-13

·

Atualizado

2026-07-14

·

CVE-2026-58408

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas ChurchCRM versões anteriores a 7.4.0
Descrição Um usuário com baixos privilégios pode ignorar a interface /admin/export para exfiltrar todo o diretório de membros. O endpoint POST /CSVCreateFile.php gera e transmite um arquivo CSV contendo as Informações de Identificação Pessoal (PII) completas de cada registro de Pessoa/Família no banco de dados. Isso ocorre porque o endpoint carece de uma verificação de autorização dedicada isAdmin() ou bExportData, dependendo, em vez disso, de um controle de permissão genérico que permite que qualquer usuário com pelo menos uma permissão de não administrador acesse a funcionalidade de exportação em massa.
Recomendações Atualizar para a versão 7.4.0.

Correção

Incorrect Authorization

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-58408

Produtos afetados

Churchcrm