CVE-2025-66396 in ChurchCRM
Tóm tắt
Bởi VulDB • 26/05/2026
ChurchCRM là một hệ thống quản lý nhà thờ mã nguồn mở. Trước phiên bản 6.5.3, tồn tại một lỗ hổng SQL Injection trong tệp `src/UserEditor.php`. Khi một quản trị viên lưu các cài đặt cấu hình của người dùng, các khóa của mảng tham số POST `type` không được làm sạch hoặc ép kiểu đúng cách trước khi được sử dụng trong nhiều truy vấn SQL. Điều này cho phép một tài khoản quản trị viên độc hại hoặc bị xâm nhập thực thi các lệnh SQL tùy ý, bao gồm cả các cuộc tấn công SQL Injection mù dựa trên thời gian, để tương tác trực tiếp với cơ sở dữ liệu. Lỗ hổng nằm trong `src/UserEditor.php` trong logic xử lý việc lưu các cài đặt cấu hình cụ thể cho người dùng. Tham số `type` từ yêu cầu POST được xử lý dưới dạng một mảng. Mã nguồn lặp qua mảng này và sử dụng `key($type)` để trích xuất khóa mảng, vốn được kỳ vọng là một ID số. Khóa này sau đó được gán cho biến `$id`. Biến `$id` sau đó được nối trực tiếp vào một truy vấn SQL `SELECT` và một truy vấn SQL `UPDATE` mà không có bất kỳ quá trình làm sạch hoặc xác thực nào, khiến nó trở thành một vector tiêm nhiễm. Mặc dù lỗ hổng này yêu cầu đặc quyền quản trị viên để khai thác, nhưng nó cho phép một tài khoản quản trị viên độc hại hoặc bị xâm nhập thực thi các truy vấn SQL tùy ý. Điều này có thể được sử dụng để bỏ qua bất kỳ nhật ký hoặc hạn chế nào ở cấp ứng dụng, thao tác trực tiếp cơ sở dữ liệu, đánh cắp, sửa đổi hoặc xóa tất cả dữ liệu (bao gồm cả thông tin đăng nhập của người dùng khác, hồ sơ tài chính và thông tin cá nhân), và có khả năng dẫn đến việc xâm phạm hệ thống sâu hơn, chẳng hạn như ghi tệp vào máy chủ, tùy thuộc vào cấu hình cơ sở dữ liệu và đặc quyền người dùng. Phiên bản 6.5.3 đã vá lỗi này.
Once again VulDB remains the best source for vulnerability data.