ChurchCRM w wersjach wcześniejszych niż 6.5.3 może ujawniać poufne informacje o bazie danych — w tym hosta, adres IP, nazwę użytkownika i hasło — w komunikatach o błędach. Podatność jest krytyczna, ponieważ umożliwia uwierzytelnionemu atakującemu uzyskanie pełnych danych dostępowych do bazy danych systemu.
▸ Pokaż oryginał (EN)
ChurchCRM is an open-source church management system. Versions prior to 6.5.3 may disclose database information in an error message including the host, ip, username, and password. Version 6.5.3 fixes the issue.
Aplikacja ChurchCRM w przypadku wystąpienia błędu związanego z bazą danych zwraca szczegółowy komunikat błędu zawierający wrażliwe informacje konfiguracyjne. Komunikat ten może zawierać takie dane jak adres hosta, adres IP serwera bazy danych, nazwę użytkownika oraz hasło. Jest to typowy przypadek podatności klasy CWE-209 (generation of error message containing sensitive information) oraz CWE-200 (exposure of sensitive information to an unauthorized actor). Atakujący z dostępem do konta użytkownika może wywołać odpowiedni błąd i odczytać te dane z odpowiedzi aplikacji.
Atakujący może uzyskać dane logowania do bazy danych (host, IP, login, hasło), co w praktyce oznacza możliwość bezpośredniego dostępu do bazy danych zawierającej dane całej organizacji kościelnej — w tym danych osobowych wiernych, finansowych i administracyjnych. Przejęcie bazy danych może prowadzić do jej odczytu, modyfikacji lub usunięcia danych.
Należy zaktualizować ChurchCRM do wersji 6.5.3 lub nowszej, która zawiera poprawkę eliminującą ujawnianie danych połączenia z bazą danych w komunikatach błędów. Szczegóły dostępne w referencjach producenta na GitHub.
ChurchCRM (system zarządzania parafią) we wszystkich wersjach wcześniejszych niż 6.5.3.
Podatność dotyczy systemu open-source dedykowanego organizacjom religijnym. Poprawka została wydana w wersji 6.5.3, co zostało wprost potwierdzone w opisie producenta.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HChurchcrm
APPChurchcrm< 6.5.3
Powiązane podatności
ChurchCRM — krytyczny auth bypass w API middleware
SQL Injection w ChurchCRM przez parametr searchwhat (QueryView.php)
ChurchCRM: Path Traversal i RCE przez funkcję przywracania kopii zapasowej
ChurchCRM: pre-auth RCE przez wstrzyknięcie kodu PHP w kreatorze instalacji
SQL Injection w ChurchCRM — kompromitacja bazy danych