ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 7.1.0 уязвимость внедрения SQL была обнаружена в конечной точке /MemberRoleChange.php в ChurchCRM 7.0.5. Аутентифицированные пользователи с ролью «Управление группами и ролями» (ManageGroups) могут вводить произвольные операторы SQL через параметр NewRole и, таким образом, извлекать и изменять информацию из базы данных.
Эта уязвимость исправлена в версии 7.1.0.
Показать оригинальное описание (EN)
ChurchCRM is an open-source church management system. Prior to 7.1.0, an SQL injection vulnerability was found in the endpoint /MemberRoleChange.php in ChurchCRM 7.0.5. Authenticated users with the role Manage Groups & Roles (ManageGroups) can inject arbitrary SQL statements through the NewRole parameter and thus extract and modify information from the database. This vulnerability is fixed in 7.1.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Churchcrm Churchcrm
cpe:2.3:a:churchcrm:churchcrm:*:*:*:*:*:*:*:*
|
— |
7.1.0
|