CRITICAL🇬🇧 English

CVE-2026-39342

SQL Injection w ChurchCRM przez parametr searchwhat (QueryView.php)

CVSS 9.4v4.0pub. 2026-04-07upd. 2026-04-10

ChurchCRM w wersjach przed 7.1.0 zawiera podatność typu SQL injection w parametrze searchwhat obsługiwanym przez QueryView.php przy QueryID=15. Pozwala ona uwierzytelnionemu użytkownikowi na nieuprawniony dostęp lub manipulację bazą danych aplikacji.

Pokaż oryginał (EN)

ChurchCRM is an open-source church management system. Prior to 7.1.0, the searchwhat parameter via QueryView.php with the QueryID=15 is vulnerable to a SQL injection. The authenticated user requires access to Data/Reports > Query Menu and access to the "Advanced Search" query. This vulnerability is fixed in 7.1.0.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji danych wejściowych przekazywanych przez parametr searchwhat w żądaniu do QueryView.php z parametrem QueryID=15. Atakujący, posiadający dostęp do sekcji Data/Reports > Query Menu oraz do zapytania 'Advanced Search', może wstrzyknąć złośliwy kod SQL do zapytania wykonywanego przez aplikację. Umożliwia to manipulację logiką zapytań kierowanych do bazy danych.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a w zależności od konfiguracji środowiska potencjalnie eskalować swoje uprawnienia w systemie.

Mitygacja

Należy zaktualizować ChurchCRM do wersji 7.1.0, w której podatność została naprawiona.

Kogo dotyczy

ChurchCRM w wersjach przed 7.1.0

Uwagi

Podatność wymaga uwierzytelnienia oraz posiadania uprawnień dostępu do modułu Data/Reports > Query Menu z możliwością korzystania z zapytania 'Advanced Search', co ogranicza powierzchnię ataku do zalogowanych użytkowników z odpowiednimi uprawnieniami.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Churchcrm

    APP
    Churchcrm
    < 7.1.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-39339CRITICAL9.1PL ✓ten sam produkt

ChurchCRM — krytyczny auth bypass w API middleware

CVE-2026-39337CRITICAL10.0PL ✓ten sam produkt

ChurchCRM: pre-auth RCE przez wstrzyknięcie kodu PHP w kreatorze instalacji

CVE-2026-35573CRITICAL9.1PL ✓ten sam produkt

ChurchCRM: Path Traversal i RCE przez funkcję przywracania kopii zapasowej

CVE-2025-68110CRITICAL9.9PL ✓ten sam produkt

ChurchCRM: ujawnienie danych logowania do bazy danych w komunikacie błędu

CVE-2025-67876CRITICAL9.3PL ✓ten sam produkt

Stored XSS w ChurchCRM — przejęcie konta przez nazwy ról grup