ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 7.1.0 уязвимость SQL-инъекции существовала в файле EditEventTypes.php, который доступен только администраторам. Параметр EN_tyid POST не очищается перед использованием в запросе SQL, что позволяет администратору выполнять произвольные команды SQL непосредственно в базе данных.
Эта уязвимость исправлена в версии 7.1.0.
Показать оригинальное описание (EN)
ChurchCRM is an open-source church management system. Prior to 7.1.0, a SQL injection vulnerability exists in the EditEventTypes.php file, which is only accessible to administrators. The EN_tyid POST parameter is not sanitized before being used in a SQL query, allowing an administrator to execute arbitrary SQL commands directly against the database. This vulnerability is fixed in 7.1.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Churchcrm Churchcrm
cpe:2.3:a:churchcrm:churchcrm:*:*:*:*:*:*:*:*
|
— |
7.1.0
|