Kritische SQL-Injection-Lücke in ChurchCRM - CVE-2026-24854
⚠️ CVE-Referenzen:
CVE-2026-24854
Zusammenfassung
Eine schwerwiegende SQL-Injection-Schwachstelle in der Webapplikation ChurchCRM ermöglicht es Angreifern mit geringsten Berechtigungen, beliebigen SQL-Code auszuführen. Die Lücke betrifft die Version 6.7.1 und früher und wurde in Version 6.7.2 behoben. Administratoren sollten das Update zeitnah einspielen, um ihre Systeme vor Missbrauch zu schützen.
ChurchCRM is an open-source church management system. A SQL Injection vulnerability exists in endpoint `/PaddleNumEditor.php` in ChurchCRM prior to version 6.7.2. Any authenticated user, including one with zero assigned permissions, can exploit SQL injection through the `PerID` parameter. Version 6.7.2 contains a patch for the issue.
Quelle: app.opencve.io