ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 7.1.0 конечная точка FindFundRaiser.php отражает вводимые пользователем данные (DateStart и DateEnd) в атрибуты поля ввода HTML без правильного кодирования вывода для контекста атрибута HTML. Злоумышленник, прошедший проверку подлинности, может создать вредоносный URL-адрес, который выполняет произвольный код JavaScript при посещении другого аутентифицированного пользователя.
Это представляет собой отраженную уязвимость XSS. Эта уязвимость исправлена в версии 7.1.0.
Показать оригинальное описание (EN)
ChurchCRM is an open-source church management system. Prior to 7.1.0, he FindFundRaiser.php endpoint reflects user-supplied input (DateStart and DateEnd) into HTML input field attributes without proper output encoding for the HTML attribute context. An authenticated attacker can craft a malicious URL that executes arbitrary JavaScript when visited by another authenticated user. This constitutes a reflected XSS vulnerability. This vulnerability is fixed in 7.1.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Churchcrm Churchcrm
cpe:2.3:a:churchcrm:churchcrm:*:*:*:*:*:*:*:*
|
— |
7.1.0
|