CVE-2026-40485 in ChurchCRM정보

요약

\~에 의해 VulDB • 2026. 05. 10.

ChurchCRM은 오픈소스 교회 관리 시스템입니다. 7.2.0 이전 버전에서는 공개 API 로그인 엔드포인트(/api/public/user/login)가 사용자 이름의 존재 여부에 따라 구분 가능한 HTTP 응답 코드를 반환합니다. 존재하지 않는 사용자의 경우 404, 비밀번호가 잘못된 유효한 사용자의 경우 401을 반환합니다. 인증되지 않은 공격자는 이 차이를 이용하여 유효한 사용자 이름을 열거할 수 있으며, 이 과정을 방해하는 속도 제한(rate limiting)이나 계정 잠금(account lockout) 메커니즘이 없습니다. 이 문제는 버전 7.2.0에서 수정되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

GitHub M

예약하다

2026. 04. 13.

공개

2026. 04. 18.

모더레이션

수락

항목

VDB-358154

CPE

준비됨

CWE

CWE-307 (확인됨)

CVSS

5.3 (CNA)

EPSS

0.00013

KEV

아니요

활동

매우 낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-40485
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-40485
CVE Details	https://www.cvedetails.com/cve/CVE-2026-40485/

◂ 이전 개요 다음 ▸

Interested in the pricing of exploits?

See the underground prices here!