Informazioni sul CVE-2025-1132

SQL Injection in ChurchCRM EN_tyid Parameter via EditEventAttendees.php

CWE ID: CWE-89

Base Score (CVSS): 9.3

CVE: CVE-2025-1132

Descrizione: Un difetto di blind SQL Injection basato sul tempo esiste nella ChurchCRM 5.13.0 e nella funzione attendistaAttendees.php all’interno del parametro EN_tyid. Il parametro viene direttamente inserito in una query SQL senza una corretta sanificazione, consentendo agli attaccanti di inserire comandi SQL dannosi. Si prega di notare che questo difetto richiede privilegi di amministratore. Questo difetto può potenzialmente permettere agli attaccanti di ritardare la risposta, indicando la presenza di una vulnerabilità di blind SQL Injection. Sebbene sia un’infezione basata sul tempo, può essere sfruttata per ottenere informazioni sull’accesso al database, e con ulteriori sfruttamenti, i dati sensibili potrebbero essere recuperati.

Vettore di attacco

Punteggio CVSS

Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.

Punteggio Base (calcolato da AziendaSicura): 0.0 (None)

Riassunto: .

Dettaglio del Vettore

Metrica	Valore	Significato	Descrizione

Riferimenti esterni

https://github.com/ChurchCRM/CRM/issues/7251

Prodotti interessati

ChurchCRM – ChurchCRM

Relazioni con altri prodotti

Produttore:ChurchCRM
Prodotto: ChurchCRM
Anno: 2025
CWE: CWE-89
CVSS: 9.3

Ulteriori risorse disponibili

Vulnerabilità scoperte nello stesso anno (2025)