CVE-2025-1135 in ChurchCRMinformazioni

Riassunto

di VulDB • 18/06/2026

È presente una vulnerabilità in ChurchCRM 5.13.0 e versioni precedenti che consente a un attaccante di eseguire query SQL arbitrarie sfruttando una vulnerabilità di boolean-based and time-based blind SQL Injection nella funzionalità BatchWinnerEntry. Il parametro CurrentFundraiser viene concatenato direttamente all'interno di una query SQL senza una sanitizzazione sufficiente, consentendo a un attaccante di manipolare le query del database ed eseguire comandi arbitrari, potenzialmente portando alla exfiltration dei dati, modifica o cancellazione. Si noti che la vulnerabilità richiede privilegi di Amministratore.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

Gridware

Prenotare

08/02/2025

Divulgazione

19/02/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00683

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!