ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 7.0.0 в ChurchCRM в подсистеме Person Property Management существовала уязвимость хранимого межсайтового скриптинга (XSS). Эта проблема сохраняется в версиях, исправленных для CVE-2023-38766, и позволяет аутентифицированному пользователю внедрить произвольный код JavaScript через динамически назначаемые свойства человека.
Вредоносная полезная нагрузка постоянно сохраняется и выполняется, когда другие пользователи просматривают профиль затронутого лица или получают доступ к представлению для печати, что потенциально может привести к перехвату сеанса или полной компрометации учетной записи. Эта уязвимость исправлена в версии 7.0.0.
Показать оригинальное описание (EN)
ChurchCRM is an open-source church management system. Prior to 7.0.0, a stored cross-site scripting (XSS) vulnerability exists in ChurchCRM within the Person Property Management subsystem. This issue persists in versions patched for CVE-2023-38766 and allows an authenticated user to inject arbitrary JavaScript code via dynamically assigned person properties. The malicious payload is persistently stored and executed when other users view the affected person profile or access the printable view, potentially leading to session hijacking or full account compromise. This vulnerability is fixed in 7.0.0.
Характеристики атаки
Последствия
Строка CVSS v3.1