ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 7.1.0 критическая уязвимость обхода аутентификации в промежуточном программном обеспечении API ChurchCRM (ChurchCRM/Slim/Middleware/AuthMiddleware.php) позволяла неаутентифицированным злоумышленникам получить доступ ко всем защищенным конечным точкам API, включая «api/public» в любом месте URL-адреса запроса, что приводило к полному раскрытию данных членов церкви и системной информации. Эта уязвимость исправлена в версии 7.1.0.
Показать оригинальное описание (EN)
ChurchCRM is an open-source church management system. Prior to 7.1.0, a critical authentication bypass vulnerability in ChurchCRM's API middleware (ChurchCRM/Slim/Middleware/AuthMiddleware.php) allows unauthenticated attackers to access all protected API endpoints by including "api/public" anywhere in the request URL, leading to complete exposure of church member data and system information. This vulnerability is fixed in 7.1.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Churchcrm Churchcrm
cpe:2.3:a:churchcrm:churchcrm:*:*:*:*:*:*:*:*
|
— |
7.1.0
|