CVE-2025-1135 in ChurchCRMinfo

Zusammenfassung

von VulDB • 03.06.2026

In ChurchCRM 5.13.0 und früheren Versionen besteht eine Schwachstelle, die es einem Angreifer ermöglicht, beliebige SQL-Abfragen auszuführen, indem er eine boolean-basierte und zeitbasierte Blind-SQL-Injection-Schwachstelle in der BatchWinnerEntry-Funktionalität ausnutzt. Der CurrentFundraiser-Parameter wird ohne ausreichende Bereinigung direkt in eine SQL-Abfrage konkateniert, was es einem Angreifer ermöglicht, Datenbankabfragen zu manipulieren und beliebige Befehle auszuführen, was potenziell zur Datenexfiltration, -änderung oder -löschung führen kann. Bitte beachten Sie, dass für die Ausnutzung der Schwachstelle Administratorrechte erforderlich sind.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

Gridware

Reservieren

08.02.2025

Veröffentlichung

19.02.2025

Moderieren

akzeptiert

Eintrag

VDB-296275

CPE

bereit

EPSS

0.00683

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!