PT-2026-57859 · Churchcrm · Churchcrm
Publicado
2026-07-13
·
Atualizado
2026-07-14
·
CVE-2026-58408
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
ChurchCRM versões anteriores a 7.4.0
Descrição
Um usuário com baixos privilégios pode ignorar a interface
/admin/export para exfiltrar todo o diretório de membros. O endpoint POST /CSVCreateFile.php gera e transmite um arquivo CSV contendo as Informações de Identificação Pessoal (PII) completas de cada registro de Pessoa/Família no banco de dados. Isso ocorre porque o endpoint carece de uma verificação de autorização dedicada isAdmin() ou bExportData, dependendo, em vez disso, de um controle de permissão genérico que permite que qualquer usuário com pelo menos uma permissão de não administrador acesse a funcionalidade de exportação em massa.Recomendações
Atualizar para a versão 7.4.0.
Correção
Incorrect Authorization
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Churchcrm