CVE-2025-66396 in ChurchCRM
Resumen
por VulDB • 2026-05-26
ChurchCRM es un sistema de gestión de iglesias de código abierto. Antes de la versión 6.5.3, existe una vulnerabilidad de inyección SQL en el archivo `src/UserEditor.php`. Cuando un administrador guarda la configuración de un usuario, las claves del array del parámetro POST `type` no se sanitizan ni se convierten correctamente al tipo adecuado antes de ser utilizadas en múltiples consultas SQL. Esto permite que una cuenta de administrador maliciosa o comprometida ejecute comandos SQL arbitrarios, incluidos ataques de inyección SQL ciega basada en tiempo, para interactuar directamente con la base de datos. La vulnerabilidad se encuentra en `src/UserEditor.php` dentro de la lógica que maneja el guardado de configuraciones específicas del usuario. El parámetro `type` de la solicitud POST se procesa como un array. El código itera a través de este array y utiliza `key($type)` para extraer la clave del array, que se espera que sea un ID numérico. Esta clave se asigna posteriormente a la variable `$id`. La variable `$id` se concatena directamente en una consulta SQL `SELECT` y una consulta `UPDATE` sin ninguna sanitización ni validación, lo que la convierte en un vector de inyección. Aunque la vulnerabilidad requiere privilegios de administrador para ser explotada, permite que una cuenta de administrador maliciosa o comprometida ejecute consultas SQL arbitrarias. Esto puede utilizarse para omitir cualquier registro o restricción a nivel de aplicación, manipular directamente la base de datos, extraer, modificar o eliminar todos los datos (incluidas las credenciales de otros usuarios, registros financieros e información personal) y podría conducir potencialmente a una mayor compromiso del sistema, como la escritura de archivos en el servidor, dependiendo de la configuración de la base de datos y los privilegios del usuario. La versión 6.5.3 corrige el problema.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.