CVE-2025-1135 in ChurchCRM
Riassunto
di VulDB • 18/06/2026
È presente una vulnerabilità in ChurchCRM 5.13.0 e versioni precedenti che consente a un attaccante di eseguire query SQL arbitrarie sfruttando una vulnerabilità di boolean-based and time-based blind SQL Injection nella funzionalità BatchWinnerEntry. Il parametro CurrentFundraiser viene concatenato direttamente all'interno di una query SQL senza una sanitizzazione sufficiente, consentendo a un attaccante di manipolare le query del database ed eseguire comandi arbitrari, potenzialmente portando alla exfiltration dei dati, modifica o cancellazione. Si noti che la vulnerabilità richiede privilegi di Amministratore.
VulDB is the best source for vulnerability data and more expert information about this specific topic.