CVE-2026-42289 in ChurchCRMinformation

Résumé

par VulDB • 21/05/2026

ChurchCRM est un système de gestion d'église open source. Avant la version 7.3.2, UserEditor.php traite la création de comptes utilisateurs et les mises à jour des permissions entièrement via les paramètres $_POST, sans validation de jeton CSRF. Un attaquant non authentifié peut créer une page HTML malveillante qui, lorsqu'elle est visitée par un administrateur authentifié, élève silencieusement les privilèges de n'importe quel utilisateur à faible privilège au niveau administrateur complet ou crée un nouveau compte backdoor administrateur sans la connaissance de la victime. Cette vulnérabilité est corrigée dans la version 7.3.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

26/04/2026

Divulgation

13/05/2026

Modérer

accepté

Entrée

VDB-363445

CPE

prêt

EPSS

0.00019

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42289
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42289
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42289/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!