ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 7.1.0 уязвимость внедрения SQL была обнаружена в конечной точке /SettingsUser.php в ChurchCRM 7.0.5. Аутентифицированные пользователи с правами администратора могут вводить произвольные операторы SQL через параметр массива типов через индекс и, таким образом, извлекать и изменять информацию из базы данных.
Эта уязвимость исправлена в версии 7.1.0.
Показать оригинальное описание (EN)
ChurchCRM is an open-source church management system. Prior to 7.1.0, an SQL injection vulnerability was found in the endpoint /SettingsUser.php in ChurchCRM 7.0.5. Authenticated administrative users can inject arbitrary SQL statements through the type array parameter via the index and thus extract and modify information from the database. This vulnerability is fixed in 7.1.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Churchcrm Churchcrm
cpe:2.3:a:churchcrm:churchcrm:*:*:*:*:*:*:*:*
|
— |
7.1.0
|