漏洞总结:ChurchCRM 认证绕过漏洞 漏洞概述 漏洞名称:Authentication Bypass in Allows Bypass of 2FA and Account Lockout CVE ID:CVE-2025-40582 严重程度:Critical 影响版本:<= 7.1.2 修复版本:7.2.0 报告者:HuajinD 发布日期:last week 影响范围 绕过启用的 2FA(双因素认证) 绕过账户锁定机制 直接访问受保护的 API 如果目标账户具有 elevated privileges,可能导致未授权访问或修改敏感业务数据 根本原因分析 端点仅检查用户名和密码是否有效,然后直接返回用户的现有 ,不执行以下安全机制: 账户锁定检查 待处理的 2FA 检查和验证 强制 2FA 注册逻辑 正常登录流程会执行这些检查,但该 API 端点绕过了统一认证链。 修复方案 升级到版本 7.2.0 修复内容:API 登录检查 ,递增失败登录次数,通过 强制执行 2FA POC 代码 场景 A:绕过 2FA 场景 B:绕过账户锁定