EcclesiaCRM — это программное обеспечение CRM для управления церковью. До версии 8.0.0 существовала уязвимость SQL-инъекции в v2/templates/query/queryview.php через пользовательские параметры и параметры значения. Эта уязвимость исправлена в версии 8.0.0.
Показать оригинальное описание (EN)
EcclesiaCRM is CRM Software for church management. Prior to 8.0.0, there is a SQL injection vulnerability in v2/templates/query/queryview.php via the custom and value parameters. This vulnerability is fixed in 8.0.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
https://gist.github.com/NicolasPauferro/d877992327592f1e8eb4e2c9dce1ae9b
security-advisories@github.com
https://github.com/phili67/ecclesiacrm/commit/f743b97f89da469a4c70b82bd61d0a59a…
security-advisories@github.com
https://github.com/phili67/ecclesiacrm/pull/2861
security-advisories@github.com
https://github.com/phili67/ecclesiacrm/security/advisories/GHSA-gjw3-73q9-v2qh
security-advisories@github.com