CVE-2026-40480 in ChurchCRMinformation

Résumé

par VulDB • 22/05/2026

ChurchCRM est un système de gestion d'église open source. Dans les versions antérieures à la 7.2.0, le point de terminaison GET /api/person/{personId} charge et renvoie les enregistrements des personnes sans effectuer de vérifications d'autorisation au niveau des objets. Bien que la page legacy PersonView.php applique les restrictions canEditPerson(), la couche API omet cette vérification. Tout utilisateur authentifié disposant uniquement des privilèges EditSelf peut énumérer et lire les enregistrements d'autres membres, exposant des informations personnelles sensibles (PII) telles que les noms, adresses, numéros de téléphone et adresses e-mail. Ce problème a été corrigé dans la version 7.2.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

13/04/2026

Divulgation

18/04/2026

Modérer

accepté

Entrée

VDB-358141

CPE

prêt

EPSS

0.00017

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-40480
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-40480
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-40480/

PrécédentAperçuSuivant

Want to stay up to date on a daily basis?

Enable the mail alert feature now!