ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 6.5.3 уязвимость хранимого межсайтового сценария (хранимого XSS) в функции создания группы на панели администратора позволяла любому пользователю с привилегиями создания групп внедрять вредоносный код JavaScript, который выполняется автоматически, когда администратор просматривает страницу. Это позволяет злоумышленникам украсть файлы cookie сеанса администратора, что потенциально может привести к полному захвату учетной записи администратора.
Эта уязвимость исправлена в версии 6.5.3.
Показать оригинальное описание (EN)
ChurchCRM is an open-source church management system. Prior to 6.5.3, a Stored Cross-Site Scripting (Stored XSS) vulnerability in the admin panel’s group-creation feature allows any user with group-creation privileges to inject malicious JavaScript that executes automatically when an administrator views the page. This enables attackers to steal the administrator’s session cookies, potentially leading to full administrative account takeover. This vulnerability is fixed in 6.5.3.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Churchcrm Churchcrm
cpe:2.3:a:churchcrm:churchcrm:*:*:*:*:*:*:*:*
|
— |
6.5.3
|