Informazioni sul CVE-2025-1023
SQL Injection in ChurchCRM newCountName Parameter via EditEventTypes.php
CWE ID: CWE-89
Base Score (CVSS): 9.3
CVE: CVE-2025-1023
Descrizione: Una vulnerabilità esiste in ChurchCRM5.13.0 e precedenti in cui un attaccante può eseguire query SQL arbitrarie sfruttando una vulnerabilità di SQL Injection basata sul tempo. La nuova parametro ‘CountName’ è direttamente concatenato in una query SQL senza una corretta sanificazione, consentendo all’attaccante di manipolare le query del database e eseguire comandi arbitrari, potenzialmente portando all’esfiltrazione di dati, alla modifica o alla cancellazione.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
Prodotti interessati
- ChurchCRM – ChurchCRM
Relazioni con altri prodotti
Produttore:ChurchCRM
Prodotto: ChurchCRM
Anno: 2025
CWE: CWE-89
CVSS: 9.3