CVE-2026-40485— ChurchCRM 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-40485の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
ChurchCRM: Username Enumeration via Differential Response in Public Login API
ソース: NVD (National Vulnerability Database)
脆弱性説明
ChurchCRM is an open-source church management system. In versions prior to 7.2.0, the public API login endpoint (/api/public/user/login) returns distinguishable HTTP response codes based on whether a username exists: 404 for non-existent users and 401 for valid users with incorrect passwords. An unauthenticated attacker can exploit this difference to enumerate valid usernames, with no rate limiting or account lockout to impede the process. This issue has been fixed in version 7.2.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
过多认证尝试的限制不恰当
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
ChurchCRM 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
ChurchCRM是ChurchCRM开源的一个为教会打造的开源 CRM 系统。 ChurchCRM 7.2.0之前版本存在安全漏洞,该漏洞源于公共API登录端点返回可区分的HTTP响应码,可能导致用户名枚举攻击。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2026-40485の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-40485のインテリジェンス情報
请登录查看更多情报信息。
Same Patch Batch · ChurchCRM · 2026-04-17 · 7 CVEs total
| CVE-2026-40484 | 9.1 CRITICAL | ChurchCRM: Authenticated Remote Code Execution via Unrestricted PHP File Write in Database |
| CVE-2026-40581 | 8.1 HIGH | ChurchCRM: Cross-Site Request Forgery (CSRF) in SelectDelete.php Leading to Permanent Data |
| CVE-2026-40483 | 5.4 MEDIUM | ChurchCRM: Stored XSS in PledgeEditor.php via Donation Comment Field |
| CVE-2026-40480 | ChurchCRM has Missing Object-Level Authorization / IDOR in `/api/person/{personId}` | |
| CVE-2026-40482 | ChurchCRM has Authenticated SQL Injection in `/api/families/byCheckNumber/{scanString}` | |
| CVE-2026-40582 | ChurchCRM: Authentication Bypass in `/api/public/user/login` Allows Bypass of 2FA and Acco |
IV. 関連脆弱性
同じ製品: CRM
- CVE-2026-40593
ChurchCRM: Stored XSS in UserEditor.php via Login Name Field - CVE-2026-40581
ChurchCRM: Cross-Site Request Forgery (CSRF) in SelectDelete - CVE-2026-40484
ChurchCRM: Authenticated Remote Code Execution via Unrestric - CVE-2026-40483
ChurchCRM: Stored XSS in PledgeEditor.php via Donation Comme - CVE-2026-40582
ChurchCRM: Authentication Bypass in `/api/public/user/login`
同じベンダー: ChurchCRM
- CVE-2026-40593
ChurchCRM: Stored XSS in UserEditor.php via Login Name Field - CVE-2026-40581
ChurchCRM: Cross-Site Request Forgery (CSRF) in SelectDelete - CVE-2026-40484
ChurchCRM: Authenticated Remote Code Execution via Unrestric - CVE-2026-40483
ChurchCRM: Stored XSS in PledgeEditor.php via Donation Comme - CVE-2026-40582
ChurchCRM: Authentication Bypass in `/api/public/user/login`
同じ弱点: CWE-307
- CVE-2026-41893
Signal K Server's WebSocket Login Endpoint Lacks Rate Limiti - CVE-2025-2514
Improper Restriction of Excessive Authentication Attempts vu - CVE-2023-54347
OpenEMR 7.0.1 Authentication Brute Force Mitigation Bypass - CVE-2026-7671
CodeWise Tornet Scooter Mobile App TwoFactor excessive authe - CVE-2026-26206
Wazuh: API brute-force protection bypass via race condition
V. CVE-2026-40485へのコメント
まだコメントはありません