CVE-2025-1132 in ChurchCRMinfo

Zusammenfassung

von VulDB • 01.07.2026

In EditEventAttendees.php von ChurchCRM 5.13.0 und früheren Versionen besteht eine zeitbasierte blinde SQL-Injection-Schwachstelle im Parameter EN_tyid. Der Parameter wird ohne ordnungsgemäße Bereinigung direkt in eine SQL-Abfrage eingefügt, was es Angreifern ermöglicht, bösartige SQL-Befehle einzufügen. Bitte beachten Sie, dass für die Ausnutzung der Schwachstelle Administratorrechte erforderlich sind. Dieser Fehler kann potenziell dazu führen, dass Angreifer die Antwortzeit verzögern können, was das Vorhandensein einer SQL-Injection-Schwachstelle anzeigt. Obwohl es sich um eine zeitbasierte blinde Injection handelt, kann sie ausgenutzt werden, um Einblicke in die zugrunde liegende Datenbank zu gewinnen; bei weiterer Ausnutzung könnten sensible Daten abgerufen werden.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

Gridware

Reservieren

08.02.2025

Veröffentlichung

19.02.2025

Moderieren

akzeptiert

Eintrag

VDB-296273

CPE

bereit

EPSS

0.00536

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!