ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 7.1.0 проблема с сохраненными межсайтовыми сценариями затрагивала поля формы «Отчеты каталога», установленные в конфигурации, значения по умолчанию в редакторе пользователей, отображаемые в полях адреса, и значения по умолчанию для внешней формы саморегистрации. В первую очередь это хранимый между администраторами путь XSS, в котором используются доступные для записи поля конфигурации.
Эта уязвимость исправлена в версии 7.1.0.
Показать оригинальное описание (EN)
ChurchCRM is an open-source church management system. Prior to 7.1.0, a stored cross-site scripting issue affects the Directory Reports form fields set from config, Person editor defaults rendered into address fields, and external self-registration form defaults. This is primarily an admin-to-admin stored XSS path where writable configuration fields are abused. This vulnerability is fixed in 7.1.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Churchcrm Churchcrm
cpe:2.3:a:churchcrm:churchcrm:*:*:*:*:*:*:*:*
|
— |
7.1.0
|