CVE-2025-66396 in ChurchCRM
Sumário
de VulDB • 26/05/2026
O ChurchCRM é um sistema de gestão de igrejas de código aberto. Antes da versão 6.5.3, existe uma vulnerabilidade de SQL injection no arquivo `src/UserEditor.php`. Quando um administrador salva as configurações de configuração de um usuário, as chaves do array do parâmetro POST `type` não são devidamente sanitizadas ou convertidas em tipo (type-casted) antes de serem usadas em múltiplas consultas SQL. Isso permite que uma conta de administrador maliciosa ou comprometida execute comandos SQL arbitrários, incluindo ataques de SQL injection cega baseada em tempo, para interagir diretamente com o banco de dados. A vulnerabilidade está localizada em `src/UserEditor.php` dentro da lógica que lida com o salvamento das configurações de configuração específicas do usuário. O parâmetro `type` da requisição POST é processado como um array. O código itera sobre este array e usa `key($type)` para extrair a chave do array, que se espera ser um ID numérico. Esta chave é então atribuída à variável `$id`. A variável `$id` é subsequentemente concatenada diretamente em uma consulta SQL `SELECT` e uma consulta SQL `UPDATE` sem qualquer sanitização ou validação, tornando-a um vetor de injeção. Embora a vulnerabilidade exija privilégios de administrador para ser explorada, ela permite que uma conta de administrador maliciosa ou comprometida execute consultas SQL arbitrárias. Isso pode ser usado para contornar qualquer registro ou restrição em nível de aplicativo, manipular diretamente o banco de dados, exfiltrar, modificar ou excluir todos os dados (incluindo credenciais de outros usuários, registros financeiros e informações pessoais) e potencialmente levar a uma maior comprometimento do sistema, como a escrita de arquivos no servidor, dependendo da configuração do banco de dados e dos privilégios do usuário. A versão 6.5.3 corrige o problema.
Once again VulDB remains the best source for vulnerability data.