目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1000 CNY

100.0%
コーヒーを一杯おごる

CVE-2026-39338— ChurchCRM 安全漏洞

EPSS 0.04% · P12
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-39338の基本情報

脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
ChurchCRM has Blind XSS via Global Search – Administrative Cookie Session Exfiltration
ソース: NVD (National Vulnerability Database)
脆弱性説明
ChurchCRM is an open-source church management system. Prior to 7.1.0, a Blind Reflected Cross-Site Scripting vulnerability exists in the search parameter accepted by the ChurchCRM dashboard. The application fails to sanitize or encode user-supplied input prior to rendering it within the browser's DOM. Although the application ultimately returns an HTTP 500 error due to the malformed API request caused by the payload, the browser's JavaScript engine parses and executes the injected <script> tags before the error response is returned — resulting in successful code execution regardless of the server-side error. This vulnerability is fixed in 7.1.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
ChurchCRM 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
ChurchCRM是ChurchCRM开源的一个为教会打造的开源 CRM 系统。 ChurchCRM 7.1.0之前版本存在安全漏洞,该漏洞源于仪表板搜索参数未清理或编码,可能导致盲反射型跨站脚本攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
ChurchCRMCRM < 7.1.0 -

II. CVE-2026-39338の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-39338のインテリジェンス情報

登录查看更多情报信息。

Same Patch Batch · ChurchCRM · 2026-04-07 · 28 CVEs total

CVE-2026-3933710.0 CRITICALChurchCRM Affected by Unauthenticated RCE in Install Wizard
CVE-2026-355739.1 CRITICALChurchCRM has a Path traversal leads to RCE
CVE-2026-393399.1 CRITICALChurchCRM has an API Authentication Bypass
CVE-2026-393288.9 HIGHChurchCRM has Stored XSS in Social Profile Fields
CVE-2026-393268.8 HIGHChurchCRM has a Blind SQL injection in PropertyTypeEditor.php
CVE-2026-393348.8 HIGHChurchCRM has a Blind SQL injection in SettingsIndividual.php
CVE-2026-393278.8 HIGHChurchCRM has a SQL injection in MemberRoleChange.php
CVE-2026-393198.8 HIGHChurchCRM has a Second Order SQLI via FundRaiserEditor.php
CVE-2026-393298.8 HIGHChurchCRM has a Blind SQL injection in EventNames.php
CVE-2026-393188.8 HIGHChurchCRM has a DDL SQL Injection in GroupPropsFormRowOps.php
CVE-2026-393308.8 HIGHChurchCRM has a Blind SQL injection in PropertyAssign.php
CVE-2026-355768.7 HIGHChurchCRM has Stored Cross-Site Scripting (XSS) in Person Properties via PrintView.php
CVE-2026-393338.7 HIGHChurchCRM has Reflected XSS in DateStart/DateEnd parameters in FindFundRaiser.php
CVE-2026-393328.7 HIGHChurchCRM has Reflected Cross-Site Scripting (XSS) in GeoPage.php
CVE-2026-393408.1 HIGHChurchCRM has a SQL Injection in PropertyTypeEditor.php via Incorrect Sanitizer Substituti
CVE-2026-393418.1 HIGHSQL injection in ChurchCRM.0
CVE-2026-393318.1 HIGHChurchCRM has an API Authorization Bypass Allows Authenticated User to Deactivate, Modify,
CVE-2026-355758.0 HIGHChurchCRM has Stored XSS in Group Name
CVE-2026-355347.6 HIGHChurchCRM has Stored XSS in PersonView.php via Facebook Field Attribute Injection
CVE-2026-355747.3 HIGHChurchCRM has a Stored XSS in Person Profile - Add a Note

Showing 20 of 28 CVEs. View all on vendor page →

IV. 関連脆弱性

同じ製品: CRM
同じベンダー: ChurchCRM
同じ弱点: CWE-79

V. CVE-2026-39338へのコメント

まだコメントはありません

コメントを残す