CVE-2026-42289 in ChurchCRMالمعلومات

الملخص

بحسب VulDB • 13/05/2026

ChurchCRM هو نظام إدارة كنائز مفتوح المصدر. قبل الإصدار 7.3.2، كانت معالجة إنشاء حسابات المستخدمين وتحديث الصلاحيات في ملف UserEditor.php تتم بالكامل عبر معاملات $_POST دون التحقق من صحة رموز CSRF. يمكن لمهاجم غير مصادق عليه إنشاء صفحة HTML خبيثة، وعند زيارتها من قبل مسؤول مصادق عليه، ترفع بشكل صامت صلاحيات أي مستخدم ذي امتيازات منخفضة إلى امتيازات المسؤول الكاملة، أو تنشئ حسابًا خلفيًا جديدًا للمسؤولين دون علم الضحية. تم إصلاح هذا الثغرة الأمنية في الإصدار 7.3.2.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

26/04/2026

إفشاء

13/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-363445

CPE

جاهز

CWE

CWE-269 (مؤكد)

CVSS

8.8 (CNA)

EPSS

0.00019

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42289
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42289
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42289/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!