ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 7.1.0 критическая уязвимость удаленного выполнения кода перед аутентификацией в мастере установки ChurchCRM позволяла неаутентифицированным злоумышленникам внедрить произвольный PHP-код во время первоначального процесса установки, что приводило к полной компрометации сервера. Переменная «$dbPassword» не очищается.
Эта уязвимость существует из-за неполного исправления CVE-2025-62521. Эта уязвимость исправлена в версии 7.1.0.
Показать оригинальное описание (EN)
ChurchCRM is an open-source church management system. Prior to 7.1.0, critical pre-authentication remote code execution vulnerability in ChurchCRM's setup wizard allows unauthenticated attackers to inject arbitrary PHP code during the initial installation process, leading to complete server compromise. The "$dbPassword" variable is not sanitized. This vulnerability exists due to an incomplete fix for CVE-2025-62521. This vulnerability is fixed in 7.1.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Churchcrm Churchcrm
cpe:2.3:a:churchcrm:churchcrm:*:*:*:*:*:*:*:*
|
— |
7.1.0
|