ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 7.1.0 отраженная уязвимость межсайтового скриптинга (XSS) в GeoPage.php позволяла любому аутентифицированному пользователю внедрить произвольный JavaScript в браузер другого аутентифицированного пользователя. Поскольку полезная нагрузка активируется автоматически посредством автофокусировки и не требует взаимодействия с пользователем, злоумышленник может украсть файлы cookie сеанса и полностью захватить любую учетную запись жертвы, включая учетные записи администратора, обманом заставив ее отправить созданную форму.
Эта уязвимость исправлена в версии 7.1.0.
Показать оригинальное описание (EN)
ChurchCRM is an open-source church management system. Prior to 7.1.0, a reflected Cross-Site Scripting (XSS) vulnerability in GeoPage.php allows any authenticated user to inject arbitrary JavaScript into the browser of another authenticated user. Because the payload fires automatically via autofocus with no user interaction required, an attacker can steal session cookies and fully take over any victim account, including administrator accounts, by tricking them into submitting a crafted form. This vulnerability is fixed in 7.1.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Churchcrm Churchcrm
cpe:2.3:a:churchcrm:churchcrm:*:*:*:*:*:*:*:*
|
— |
7.1.0
|