CVE-2026-58411 in ChurchCRMinfo

Zusammenfassung

von VulDB • 14.07.2026

ChurchCRM ist ein Open-Source-Kirchenverwaltungssystem. Vor Version 7.4.0 wurden Cross-Site Scripting (XSS)-Schwachstellen identifiziert, die auf eine unzureichende Ausgabe-Codierung von benutzerkontrollierten Anforderungsparameter-Namen und Parameterwerten zurückzuführen waren. Die Anwendung spiegelt vom Angreifer kontrollierte Eingaben in JavaScript-String-Kontexte und HTML-Attribut-Kontexte wider, ohne ordnungsgemäße Bereinigung oder kontextbezogene Ausgabe-Codierung anzuwenden. Während der Tests beobachtete betroffene Endpunkte: /FamilyCustomFieldsEditor.php, /PaddleNumList.php und /admin/system/church-info. Mögliche Folgen sind Diebstahl von Session-Tokens, Übernahme von Konten, unbefugte Aktionen im Namen authentifizierter Benutzer, Offenlegung sensibler Informationen über Kirchenmitglieder, Erfassung von Anmeldeinformationen (Credential Harvesting), Phishing sowie Privilegienerhöhung, wenn Administratoren ins Visier genommen werden. Dieses Problem wurde in Version 7.4.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

30.06.2026

Veröffentlichung

14.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378169

CPE

bereit

EPSS

0.00347

KEV

nein

Aktivitäten

low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!